CVE-2024-53856

Nome do software vulnerável e versões afetadas:

Versões do rPGP anteriores à 0.14.1

Descrição:

A vulnerabilidade permite que um invasor provoque falhas no rPGP ao fornecer dados manipulados. Isso pode ocorrer em vários cenários, incluindo a análise de mensagens OpenPGP, a descriptografia de mensagens via decrypt with password(), a análise ou conversão de chaves públicas, a análise de mensagens de texto claro assinadas e o uso de chaves privadas malformadas para assinar ou criptografar. A complexidade do ataque é considerada baixa, e o resultado é um impacto de negação de serviço por meio do encerramento do programa, sem impacto nas propriedades de segurança de confidencialidade ou integridade.

Recomendações:

Para versões anteriores à 0.14.1, atualize para a versão 0.14.1 para corrigir a vulnerabilidade. Como solução temporária, considere restringir o uso de componentes vulneráveis, como decrypt with password(), até que o patch seja aplicado. Evite usar chaves privadas malformadas para assinar ou criptografar até que a vulnerabilidade seja resolvida.