PT-2024-10576 · Gentoo · Gentoo Portage
Kristian Fiskerstrand
·
Publicado
2024-01-12
·
Atualizado
2024-01-22
·
CVE-2016-20021
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões do Gentoo Portage anteriores à 3.0.47
Descrição
O problema diz respeito à falta de validação PGP do código executado. Especificamente, o comando independente
emerge-webrsync baixa um arquivo .gpgsig, mas não realiza a verificação da assinatura. Este problema não afeta o Portage, a menos que o emerge-webrsync seja utilizado.Recomendações
Para versões do Gentoo Portage anteriores à 3.0.47, atualize para a versão 3.0.47 ou posterior para resolver o problema. Como solução temporária, considere evitar o uso do emerge-webrsync até que um patch seja aplicado.
Correção
Improper Verification of Cryptographic Signature
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Gentoo Portage