PT-2022-20546 · Pypi · Openssh Key Parser
Mike-Arnica
·
Publicado
2022-07-06
·
Atualizado
2022-07-14
·
CVE-2022-31124
CVSS v3.1
7.7
Alta
| Vetor | AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:N/A:N |
Nome do software vulnerável e versões afetadas
Versões do openssh key parser anteriores à 0.0.6
Descrição
O pacote openssh key parser é um utilitário Python de código aberto para analisar e compactar arquivos de chaves privadas e públicas do OpenSSH. Nas versões anteriores à 0.0.6, se um campo de uma chave for mais curto do que o declarado, o analisador gera um erro com uma mensagem contendo o valor bruto do campo. Um invasor capaz de modificar o comprimento declarado de um campo confidencial da chave pode, assim, expor o valor bruto desse campo.
Recomendações
Para versões do openssh key parser anteriores à 0.0.6, atualize para a versão 0.0.6, que não inclui mais o valor bruto do campo na mensagem de erro. Como não há soluções alternativas conhecidas para este problema, a atualização para a versão mais recente é a ação recomendada.
Exploit
Correção
Generation of Error Message Containing Sensitive Information
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Openssh Key Parser