CVE-2017-7436

libzypp accepts unsigned packages even when configured to check signatures

CVSS 8.1 HIGHEPSS 1.8%

Em resumo

O libzypp aceitava pacotes de software sem assinatura digital sem avisar o usuário, permitindo que atacantes enganassem as pessoas a instalarem software malicioso ao interceptar downloads ou comprometer servidores.

Detalhe técnico

libzypp anterior a 20170803 não verificava assinaturas digitais de pacotes RPM adequadamente, permitindo instalação de pacotes não assinados sem notificação. A vulnerabilidade permite ataques de interceptação ou repositórios comprometidos entregarem pacotes maliciosos mesmo quando verificações de assinatura deveriam estar ativas.

Resumo gerado e traduzido por IA a partir da descrição oficial.

In libzypp before 20170803 it was possible to retrieve unsigned packages without a warning to the user which could lead to man in the middle or malicious servers to inject malicious RPM packages into a users system.

CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H

Produtos afetados

SUSE · libzypp

Quer saber se a sua infraestrutura está exposta a isto?

Falar com a TrueHacking →

Referências

https://bugzilla.suse.com/show_bug.cgi?id=1038984 https://lists.opensuse.org/opensuse-security-announce/2017-08/msg00002.html https://www.suse.com/de-de/security/cve/CVE-2017-7436/