Gentoo Portage przed wersją 3.0.47 nie weryfikuje podpisu PGP przy pobieraniu aktualizacji przez narzędzie emerge-webrsync, mimo że plik .gpgsig jest pobierany. Umożliwia to potencjalne wykonanie niezaufanego kodu bez żadnej weryfikacji integralności.
▸ Pokaż oryginał (EN)
In Gentoo Portage before 3.0.47, there is missing PGP validation of executed code: the standalone emerge-webrsync downloads a .gpgsig file but does not perform signature verification. Unless emerge-webrsync is used, Portage is not vulnerable.
Narzędzie emerge-webrsync pobiera plik .gpgsig zawierający podpis PGP, jednak nie przeprowadza faktycznej weryfikacji tego podpisu. Oznacza to, że pobierany i wykonywany kod nie jest sprawdzany pod kątem autentyczności i integralności. Atakujący mogący przechwycić lub zmodyfikować pobierane dane (np. przez atak man-in-the-middle lub kompromitację serwera źródłowego) może dostarczyć złośliwy kod, który zostanie wykonany bez ostrzeżenia.
Atakujący może doprowadzić do wykonania dowolnego kodu na systemie użytkownika korzystającego z emerge-webrsync, co może skutkować pełnym przejęciem kontroli nad systemem, naruszeniem poufności i integralności danych.
Należy zaktualizować Gentoo Portage do wersji 3.0.47 lub nowszej. Szczegóły dostępne w referencjach producenta: https://gitweb.gentoo.org/proj/portage.git/tree/NEWS. Do czasu aktualizacji należy unikać korzystania z narzędzia emerge-webrsync.
Gentoo Portage w wersjach przed 3.0.47, wyłącznie gdy używane jest narzędzie emerge-webrsync. Standardowe użycie Portage bez emerge-webrsync nie jest podatne.
Podatność dotyczy wyłącznie scenariusza użycia emerge-webrsync — standardowe użycie Portage (bez tego narzędzia) nie jest zagrożone. Błąd był zgłoszony pod numerem Gentoo Bug #597800.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HGentoo Portage
APPGentoo< 3.0.47
Powiązane podatności
Ebuild in Gentoo may change directory and file permissions depending on the order of installed packages, which...
The urlopen function in pym/portage/util/_urlopen.py in Gentoo Portage 2.1.12, when using HTTPS, does not veri...
Gentoo Portage through 2.3.84 allows local users to place a Trojan horse plugin in the /usr/lib64/nagios/plugi...
Multiple untrusted search path vulnerabilities in Portage before 2.1.4.5 include the current working directory...
Portage before 2.0.50-r3 allows local users to overwrite arbitrary files via a hard link attack on the lockfil...