CRITICAL🇬🇧 English

CVE-2025-8454

Pominięcie weryfikacji OpenPGP w uscan (Debian Devscripts)

CVSS 9.8v3.1pub. 2025-08-01upd. 2025-08-06

Narzędzie uscan wchodzące w skład pakietu Debian Devscripts pomija weryfikację podpisu OpenPGP, jeśli źródło oprogramowania zostało już wcześniej pobrane — nawet gdy poprzednia weryfikacja zakończyła się niepowodzeniem. Stanowi to poważne zagrożenie dla integralności paczek Debian, gdyż atakujący może podrzucić zmodyfikowane, niepodpisane lub fałszywie podpisane źródło bez wykrycia.

Pokaż oryginał (EN)

It was discovered that uscan, a tool to scan/watch upstream sources for new releases of software, included in devscripts (a collection of scripts to make the life of a Debian Package maintainer easier), skips OpenPGP verification if the upstream source is already downloaded from a previous run even if the verification failed back then.

🤖 Analiza AI
Jak działa

Uscan pobiera źródła oprogramowania upstream i sprawdza ich podpisy OpenPGP w celu potwierdzenia autentyczności. Gdy źródło zostało już pobrane podczas poprzedniego uruchomienia narzędzia, weryfikacja podpisu jest pomijana — niezależnie od tego, czy poprzednia weryfikacja się powiodła. Oznacza to, że plik przechowywany lokalnie może być fałszywy lub zmodyfikowany, a narzędzie zaakceptuje go bez dodatkowego sprawdzenia. Błąd klasyfikowany jest jako CWE-347 (Improper Verification of Cryptographic Signature).

Skutki

Atakujący mogący umieścić zmodyfikowany plik źródłowy w lokalizacji pobierania może spowodować, że opiekun pakietu Debian nieświadomie użyje sfałszowanego kodu źródłowego — prowadząc potencjalnie do przejęcia kontroli nad pakietem, wprowadzenia złośliwego kodu do dystrybucji lub kompromitacji środowiska budowania oprogramowania.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami (https://bugs.debian.org/1109251). Do czasu aktualizacji zaleca się ręczne usuwanie lokalnie pobranych plików źródłowych przed każdym uruchomieniem uscan, aby wymusić ponowne pobranie i weryfikację podpisu.

Kogo dotyczy

Debian Devscripts — wersje wskazane w referencjach producenta (pakiet uscan); dotyczy opiekunów pakietów Debian korzystających z narzędzia uscan

Uwagi

Podatność została zgłoszona poprzez system śledzenia błędów Debian (bug #1109251). Ocena CVSS 9.8 (CRITICAL) wynika z możliwości zdalnego wykorzystania bez uwierzytelnienia, jednak brak publicznego exploita oraz wpisu w CISA KEV uzasadnia klasyfikację poziomu pilności jako WYSOKI.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Debian Devscripts

    APP
    Debian
    2.25.15
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2018-13043CRITICAL9.8ten sam produkt

scripts/grep-excuses.pl in Debian devscripts through 2.18.3 allows code execution through unsafe YAML loading ...

CVE-2013-7325HIGH8.8ten sam produkt

An issue exists in uscan in devscripts before 2.13.19, which could let a remote malicious user execute arbitra...

CVE-2026-24061CRITICAL9.8⚠ KEVPL ✓ten sam vendor

GNU Inetutils telnetd: ominięcie uwierzytelnienia przez zmienną USER

CVE-2025-32463CRITICAL9.3⚠ KEVPL ✓ten sam vendor

Sudo: eskalacja uprawnień do root poprzez opcję --chroot (CVE-2025-32463)

CVE-2025-49113CRITICAL9.9⚠ KEVPL ✓ten sam vendor

RCE przez deserializację PHP w Roundcube Webmail (parametr _from)