PT-2024-2653 · Unknown+4 · Osbuild-Composer+4

Robb Gatica

·

Publicado

2024-03-19

·

Atualizado

2024-08-20

·

CVE-2024-2307

CVSS v2.0

6.4

Média

VetorAV:L/AC:L/Au:S/C:C/I:C/A:P
Nome do software vulnerável e versões afetadas
osbuild-composer (versões afetadas não especificadas)
Descrição
Uma falha no osbuild-composer pode desencadear uma condição que desativa a verificação GPG para repositórios de pacotes. Isso pode expor a fase de compilação a um ataque Man-in-the-Middle, permitindo que código não confiável seja instalado em uma imagem que está sendo compilada. O problema está relacionado à verificação incorreta da assinatura criptográfica.
Recomendações
No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

Improper Verification of Cryptographic Signature

Race Condition

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-347CWE-362

Identificadores relacionados

ALSA-2024:2119
ALSA-2024:2961
BDU:2024-02720
CESA-2024_2961
CVE-2024-2307
INFSA-2024_2119
INFSA-2024_2961
RHSA-2024:2119
RHSA-2024:2961
RHSA-2024_2119
RHSA-2024_2961
RLSA-2024:2961

Produtos afetados

Almalinux
Centos
Red Hat
Rocky Linux
Osbuild-Composer