Vulnerabilidad en Enigmail (CVE-2019-14664)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-319
Transmisión de información sensible en texto claro
Fecha de publicación:
05/08/2019
Última modificación:
07/11/2023
Descripción
En Enigmail anterior a versión 2.1, un atacante en posesión de correos electrónicos cifrados con PGP puede empaquetados como sub-partes dentro de un correo electrónico multiparte diseñado. La(s) parte(s) encriptada(s) puede ocultarse aún más usando caracteres HTML/CSS o de nueva línea ASCII. El atacante puede reenviar este correo electrónico multiparte modificado al receptor deseado. Si el receptor responde a este correo electrónico (de aspecto benigno), sin saberlo, filtra el texto plano de la(s) parte(s) del mensaje cifrado para el atacante. Esta variante de ataque omite los mecanismos de protección implementados después de los ataques de tipo "EFAIL".
Impacto
Puntuación base 3.x
6.50
Gravedad 3.x
MEDIA
Puntuación base 2.0
4.30
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:enigmail:enigmail:*:*:*:*:*:*:*:* | 2.1 (excluyendo) | |
| cpe:2.3:o:fedoraproject:fedora:30:*:*:*:*:*:*:* | ||
| cpe:2.3:o:fedoraproject:fedora:31:*:*:*:*:*:*:* | ||
| cpe:2.3:o:fedoraproject:fedora:32:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/AVNTEF3WSOOQYKMIPEH7F77UPXES5BU5/
- https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/CYWBJHSBBLAHKMRWDWH2XXQDYAGDHB5I/
- https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/GHC5WDQ47FQSL5CTGQUYIHVC3RNZ7UH5/
- https://sourceforge.net/p/enigmail/bugs/984/
- https://www.enigmail.net/index.php/en/download/changelog