PT-2022-24831 · Sylabs+2 · Sif+2

Tri-Adam

·

Publicado

2022-10-06

·

Atualizado

2024-06-20

·

CVE-2022-39237

CVSS v3.1

9.8

Crítica

VetorAV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Nome do software vulnerável e versões afetadas
Versões do syslabs/sif anteriores à 2.8.1
Descrição
O problema diz respeito à verificação de assinaturas digitais na implementação de referência do Singularity Image Format (SIF). Especificamente, o pacote github.com/sylabs/sif/v2/pkg/integrity não verificava se os algoritmos de hash utilizados eram criptograficamente seguros ao verificar assinaturas digitais. Recomenda-se que os usuários atualizem para uma versão em que este problema tenha sido corrigido. Para usuários que não possam atualizar, recomenda-se validar de forma independente se os algoritmos de hash utilizados para os resumos de metadados e o hash da assinatura são criptograficamente seguros.
Recomendações
Para versões anteriores à 2.8.1, atualize para a versão 2.8.1 ou posterior.
Como solução alternativa temporária para usuários que não possam atualizar, considere validar de forma independente os algoritmos de hash usados para resumos de metadados e hash de assinatura, a fim de garantir que sejam criptograficamente seguros.

Exploit

Correção

Improper Verification of Cryptographic Signature

Use of a Broken Cryptographic Algorithm

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-347CWE-327

Identificadores relacionados

CVE-2022-39237
GHSA-M5M3-46GJ-WCH8
GO-2022-1045
OPENSUSE-SU-2023:0018-1
OPENSUSE-SU-2023_0018-1
OPENSUSE-SU-2024:12389-1
OPENSUSE-SU-2024:14059-1

Produtos afetados

Debian
Suse
Sif