Vulnérabilité sur gnupg2 pour Red Hat
Date de publication :
Une vulnérabilité a été corrigée pour gnupg2 sur Red Hat. Cette vulnérabilité peut permettre à un attaquant distant et non-authentifié de créer un déni de service sur les machines compromises.
CVE-2019-13050 [Score CVSS v3 : 7.5] : Une vulnérabilité exploitant une faille dans le code des serveurs de clés SKS. Les serveurs de clé SKS autorisent les clients à signer les certificats mais ni SKS ni gnupg2 ne vérifie le nombre de signatures sur un certificat, si un certificat téléchargé possède un trop grand nombre de signatures, l'instance de GNUPG de l'utilisateur cesse de fonctionner. Un attaquant peut signer un grand nombre de fois plusieurs certificats (attaque de type inondation de certificats) afin de compromettre la disponibilité des utilisateurs qui téléchargeront les certificats compromis.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
Déni de service
Criticité
Score CVSS v3 : 6.5 (RedHat) ; 7.5 (NVD)
Existence d’un code d’exploitation
Aucun code d’exploitation n’est disponible publiquement à ce jour
Composants vulnérables
Red Hat Enterprise Linux for x86_64 8 x86_64
Red Hat Enterprise Linux for IBM z Systems 8 s390x
Red Hat Enterprise Linux for Power, little endian 8 ppc64le
Red Hat Enterprise Linux for ARM 64 8 aarch64
CVE
CVE-2019-13050
Solutions ou recommandations
Mise en place de correctifs de sécurité
Mettre à jour gnupg2 (v2.2.20)
Solution de contournement
Dans « ~/.gnupg/gpg.conf », supprimer toute ligne commençant par « keyserver».
Dans « ~/.gnupg/dirmngr.conf », ajouter un fin de document : "keyserver hkps://keys.openpgp.org"