Vulnerabilidad en la funcionalidad de firma de RPM (CVE-2021-3521)
Gravedad CVSS v3.1:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
22/08/2022
Última modificación:
12/02/2023
Descripción
Se presenta un fallo en la funcionalidad de firma de RPM. Las subclaves OpenPGP se asocian a una clave primaria por medio de una "firma vinculante". RPM no comprueba la firma vinculante de las subclaves antes de importarlas. Si un atacante es capaz de añadir o hacer ingeniería social para que otra parte añada una subclave maliciosa a una clave pública legítima, RPM podría confiar erróneamente en una firma maliciosa. El mayor impacto de este fallo es la integridad de los datos. Para explotar este fallo, un atacante debe comprometer un repositorio de RPM o convencer a un administrador para que instale un RPM o una clave pública que no sean confiables. Es recomendado encarecidamente usar sólo RPMs y claves públicas de fuentes confiables.
Impacto
Puntuación base 3.x
4.70
Gravedad 3.x
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:rpm:rpm:*:*:*:*:*:*:*:* | 4.17.1 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://access.redhat.com/security/cve/CVE-2021-3521
- https://bugzilla.redhat.com/show_bug.cgi?id=1941098
- https://github.com/rpm-software-management/rpm/commit/bd36c5dc9fb6d90c46fbfed8c2d67516fc571ec8
- https://github.com/rpm-software-management/rpm/pull/1795/
- https://security.gentoo.org/glsa/202210-22