Vulnerabilidad en la firma PGP en Linux Vendor Firmware Service (LVFS) en fwupd (CVE-2020-10759)
Gravedad CVSS v3.1:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
15/09/2020
Última modificación:
17/06/2026
Descripción
Se encontró un fallo de omisión de la firma PGP en fwupd (todas las versiones), que podría conllevar a la instalación de firmware sin firmar. Según aguas arriba, teóricamente es posible omitir la firma, pero no es práctico porque el Linux Vendor Firmware Service (LVFS) no está implementado o habilitado en las versiones de fwupd enviadas con Red Hat Enterprise Linux versiones 7 y 8. La mayor amenaza de esta vulnerabilidad es la confidencialidad y la integridad
Impacto
Puntuación base 3.x
6.00
Gravedad 3.x
MEDIA
Puntuación base 2.0
3.30
Gravedad 2.0
BAJA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:o:redhat:enterprise_linux:7.0:*:*:*:*:*:*:* | ||
| cpe:2.3:o:redhat:enterprise_linux:8.0:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://bugzilla.redhat.com/show_bug.cgi?id=1844316
- https://github.com/justinsteven/advisories/blob/master/2020_fwupd_dangling_s3_bucket_and_CVE-2020-10759_signature_verification_bypass.md
- https://bugzilla.redhat.com/show_bug.cgi?id=1844316
- https://github.com/justinsteven/advisories/blob/master/2020_fwupd_dangling_s3_bucket_and_CVE-2020-10759_signature_verification_bypass.md



