CRITICAL🇬🇧 English

CVE-2016-20021

Brak weryfikacji podpisu PGP w Gentoo Portage emerge-webrsync

CVSS 9.8v3.1pub. 2024-01-12upd. 2025-06-03

Gentoo Portage przed wersją 3.0.47 nie weryfikuje podpisu PGP przy pobieraniu aktualizacji przez narzędzie emerge-webrsync, mimo że plik .gpgsig jest pobierany. Umożliwia to potencjalne wykonanie niezaufanego kodu bez żadnej weryfikacji integralności.

Pokaż oryginał (EN)

In Gentoo Portage before 3.0.47, there is missing PGP validation of executed code: the standalone emerge-webrsync downloads a .gpgsig file but does not perform signature verification. Unless emerge-webrsync is used, Portage is not vulnerable.

🤖 Analiza AI
Jak działa

Narzędzie emerge-webrsync pobiera plik .gpgsig zawierający podpis PGP, jednak nie przeprowadza faktycznej weryfikacji tego podpisu. Oznacza to, że pobierany i wykonywany kod nie jest sprawdzany pod kątem autentyczności i integralności. Atakujący mogący przechwycić lub zmodyfikować pobierane dane (np. przez atak man-in-the-middle lub kompromitację serwera źródłowego) może dostarczyć złośliwy kod, który zostanie wykonany bez ostrzeżenia.

Skutki

Atakujący może doprowadzić do wykonania dowolnego kodu na systemie użytkownika korzystającego z emerge-webrsync, co może skutkować pełnym przejęciem kontroli nad systemem, naruszeniem poufności i integralności danych.

Mitygacja

Należy zaktualizować Gentoo Portage do wersji 3.0.47 lub nowszej. Szczegóły dostępne w referencjach producenta: https://gitweb.gentoo.org/proj/portage.git/tree/NEWS. Do czasu aktualizacji należy unikać korzystania z narzędzia emerge-webrsync.

Kogo dotyczy

Gentoo Portage w wersjach przed 3.0.47, wyłącznie gdy używane jest narzędzie emerge-webrsync. Standardowe użycie Portage bez emerge-webrsync nie jest podatne.

Uwagi

Podatność dotyczy wyłącznie scenariusza użycia emerge-webrsync — standardowe użycie Portage (bez tego narzędzia) nie jest zagrożone. Błąd był zgłoszony pod numerem Gentoo Bug #597800.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Gentoo Portage

    APP
    Gentoo
    < 3.0.47
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2004-2778HIGH7.1ten sam produkt

Ebuild in Gentoo may change directory and file permissions depending on the order of installed packages, which...

CVE-2013-2100HIGH9.3ten sam produkt

The urlopen function in pym/portage/util/_urlopen.py in Gentoo Portage 2.1.12, when using HTTPS, does not veri...

CVE-2019-20384MEDIUM5.5ten sam produkt

Gentoo Portage through 2.3.84 allows local users to place a Trojan horse plugin in the /usr/lib64/nagios/plugi...

CVE-2008-4394MEDIUM6.9ten sam produkt

Multiple untrusted search path vulnerabilities in Portage before 2.1.4.5 include the current working directory...

CVE-2004-1901MEDIUM5.5ten sam produkt

Portage before 2.0.50-r3 allows local users to overwrite arbitrary files via a hard link attack on the lockfil...