GLSA-202210-22 : RPM:多个漏洞

high Nessus 插件 ID 166726

语言:

描述

远程主机受到 GLSA-202210-22 中所述漏洞的影响(RPM:多个漏洞)

- RPM 的签名功能中存在缺陷。OpenPGP 子密钥通过绑定签名与主密钥相关联。RPM 不会在导入子密钥之前检查其绑定签名。如果攻击者能够添加或通过社交工程向合法公钥添加恶意子密钥,RPM 可能会错误地信任恶意签名。此缺陷对数据完整性的影响最大。要利用此缺陷,攻击者必须破坏 RPM 存储库,或诱使管理员安装不受信任的 RPM 或公钥。强烈建议仅使用来自受信任来源的 RPM 和公钥。(CVE-2021-3521)

- 在 rpm 中发现一个争用条件漏洞。本地非特权用户可利用此缺陷绕过为响应 CVE-2017-7500 和 CVE-2017-7501 而引入的检查,从而可能获得根权限。此漏洞最大的威胁在于数据机密性和完整性,以及系统可用性。(CVE-2021-35937)

- 在 rpm 中发现一个符号链接问题。在安装文件后为 rpm 设置所需的权限和凭据时会发生此问题。本地非特权用户可利用此缺陷与安全关键文件的符号链接交换原始文件,并提升其在系统中的权限。此漏洞最大的威胁在于数据机密性和完整性,以及系统可用性。
(CVE-2021-35938)

- 发现针对 CVE-2017-7500 和 CVE-2017-7501 的修复不完整:仅对要创建的文件的父目录实施了检查。拥有另一个上代目录的本地非特权用户可能利用此缺陷获取根权限。此漏洞最大的威胁在于数据机密性和完整性,以及系统可用性。(CVE-2021-35939)

请注意,Nessus 尚未测试这些问题,而是只依据应用程序自我报告的版本号进行判断。

解决方案

所有 RPM 用户都应当升级到最新版本:

# emerge --sync # emerge --ask --oneshot --verbose >=app-arch/rpm-4.18.0

另见

https://security.gentoo.org/glsa/202210-22

https://bugs.gentoo.org/show_bug.cgi?id=830380

https://bugs.gentoo.org/show_bug.cgi?id=866716

插件详情

严重性: High

ID: 166726

文件名: gentoo_GLSA-202210-22.nasl

版本: 1.2

类型: local

发布时间: 2022/10/31

最近更新时间: 2022/10/31

风险信息

VPR

风险因素: Medium

分数: 6.7

CVSS v2

风险因素: Low

基本分数: 1.9

时间分数: 1.4

矢量: AV:L/AC:M/Au:N/C:N/I:P/A:N

时间矢量: E:U/RL:OF/RC:C

CVSS 分数来源: CVE-2021-3521

CVSS v3

风险因素: High

基本分数: 7.8

时间分数: 6.8

矢量: CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

时间矢量: E:U/RL:O/RC:C

CVSS 分数来源: CVE-2021-35939

漏洞信息

CPE: p-cpe:/a:gentoo:linux:rpm, cpe:/o:gentoo:linux

必需的 KB 项: Host/local_checks_enabled, Host/Gentoo/release, Host/Gentoo/qpkg-list

易利用性: No known exploits are available

补丁发布日期: 2022/10/31

漏洞发布日期: 2022/2/22

参考资料信息

CVE: CVE-2021-3521, CVE-2021-35937, CVE-2021-35938, CVE-2021-35939