PT-2022-7386 · Rpm+8 · Rpm+8

Demi M. Obenour

+1

·

Publicado

2021-08-15

·

Atualizado

2024-06-15

·

CVE-2021-3521

CVSS v3.1

4.7

Média

VetorAV:L/AC:H/PR:N/UI:R/S:U/C:N/I:H/A:N
Nome do software vulnerável e versões afetadas
RPM (versões afetadas não especificadas)
Descrição
O problema está relacionado a uma falha na funcionalidade de assinatura do RPM, na qual subchaves OpenPGP são associadas a uma chave primária por meio de uma “assinatura de ligação”. O RPM não verifica a assinatura de ligação das subchaves antes de importá-las. Isso poderia permitir que um invasor adicionasse uma subchave maliciosa a uma chave pública legítima, fazendo com que o RPM confiasse erroneamente em uma assinatura maliciosa. O maior impacto dessa falha é sobre a integridade dos dados. Para explorar essa falha, um invasor deve comprometer um repositório RPM ou convencer um administrador a instalar um RPM ou uma chave pública não confiável.
Recomendações
No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

Improper Verification of Cryptographic Signature

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-347

Identificadores relacionados

ALSA-2022:0368
ALT-PU-2021-2518
ALT-PU-2021-2600
AZL-10637
BDU:2024-04926
CESA-2022_0368
CVE-2021-3521
MGASA-2022-0321
OESA-2021-1431
OPENSUSE-SU-2024:12245-1
OPENSUSE-SU-2024_1557-1
OPENSUSE-SU-2024_1557-2
RHSA-2022:0254
RHSA-2022:0368
RHSA-2022:0634
RHSA-2022_0368
RLSA-2022:0368
SUSE-SU-2024:1557-1
SUSE-SU-2024:1557-2
SUSE-SU-2024:1557-3
SUSE-SU-2024_1557-1
SUSE-SU-2024_1557-2

Produtos afetados

Alt Linux
Almalinux
Centos
Debian
Rpm
Red Hat
Red Os
Rocky Linux
Suse