PT-2021-2667 · Mozilla+7 · Thunderbird+7

Neal Walfield

Publicado

2021-04-08

Atualizado

2021-07-08

CVE-2021-23992

CVSS v2.0

6.4

Média

Vetor

AV:N/AC:L/Au:N/C:P/I:P/A:N

**Nome do software vulnerável e versões afetadas:

Versões do Thunderbird anteriores à 78.9.1

Descrição:

O problema está relacionado à verificação incorreta das assinaturas das chaves OpenPGP. Um invasor pode criar uma chave OpenPGP manipulada, substituindo ou adicionando um ID de usuário. Se a chave manipulada for importada e aceita, o usuário pode erroneamente presumir que o ID de usuário falso pertence ao correspondente. Isso permite que um invasor remoto acesse informações protegidas.

Recomendações:

Para versões anteriores à 78.9.1, atualize para a versão 78.9.1 ou posterior para resolver o problema.

Correção

Improper Verification of Cryptographic Signature

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-347

Identificadores relacionados

ALT-PU-2021-1804

ALT-PU-2021-1886

ALT-PU-2021-1892

BDU:2021-02196

CESA-2021_1192

CESA-2021_1193

CVE-2021-23992

DLA-2632-1

DSA-4897-1

MGASA-2021-0189

OPENSUSE-SU-2021:0580-1

OPENSUSE-SU-2021_0580-1

RHSA-2021:1190

RHSA-2021:1192

RHSA-2021:1193

RHSA-2021:1201

RHSA-2021_1192

RHSA-2021_1193

SUSE-SU-2021:1167-1

USN-4995-1

USN-4995-2

Produtos afetados

Alt Linux

Astra Linux

Centos

Linuxmint

Red Hat

Suse

Thunderbird

Ubuntu

PT-2021-2667 · Mozilla+7 · Thunderbird+7

CVE-2021-23992

Enumeração de Fraquezas

Identificadores relacionados

Produtos afetados

Referências · 62