Vulnerabilidad en Actualizer (CVE-2025-47276)
Gravedad CVSS v3.1:
ALTA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
13/05/2025
Última modificación:
13/05/2025
Descripción
Actualizer es una solución de script de shell único que permite a desarrolladores e ingenieros de sistemas integrados crear sistemas operativos Debian (SO). Antes de la versión 1.2.0, Actualizer utilizaba la función "-passwd" de OpenSSL, que utiliza SHA512 en lugar de un hash de contraseñas más adecuado como Yescript/Argon2i. Todos los usuarios de Actualizer que creen un sistema operativo Debian completo se ven afectados. Los usuarios deben actualizar a la versión 1.2.0 de Actualizer. La implementación actual del SO requiere cambios manuales de contraseñas para las cuentas alfa y root. El cambio implementará el yescript de Debian, anulando el hash SHA512 anterior creado por OpenSSL. Como workaround, los usuarios deben restablecer las contraseñas de los usuarios `root` y `Alpha`.
Impacto
Puntuación base 3.x
7.50
Gravedad 3.x
ALTA
Referencias a soluciones, herramientas e información
- https://cheatsheetseries.owasp.org/cheatsheets/Password_Storage_Cheat_Sheet.html
- https://github.com/ChewKeanHo/Actualizer/commit/32c9cc232c856f078f8269fba80ce7562bbff86b
- https://github.com/ChewKeanHo/Actualizer/issues/1
- https://github.com/ChewKeanHo/Actualizer/releases/tag/v1.2.0
- https://github.com/ChewKeanHo/Actualizer/security/advisories/GHSA-v626-chv9-v9qr
- https://github.com/openssl/openssl/issues/19340
- https://www.reddit.com/r/debian/comments/1kknzqi/actualizer_v110_upgraded