CVE-2017-7436
libzypp accepts unsigned packages even when configured to check signatures
En resumen
libzypp aceptaba paquetes de software sin firma digital sin advertir al usuario, permitiendo que atacantes engañaran a las personas a instalar software malicioso al interceptar descargas o comprometer servidores.
Detalle técnico
libzypp anterior a 20170803 no verificaba correctamente las firmas digitales de paquetes RPM, permitiendo la instalación de paquetes sin firmar sin notificación. La vulnerabilidad permite ataques de intermediario o repositorios comprometidos entregar paquetes maliciosos incluso cuando debería estar activa la verificación de firmas.
Resumen generado y traducido por IA a partir de la descripción oficial.
In libzypp before 20170803 it was possible to retrieve unsigned packages without a warning to the user which could lead to man in the middle or malicious servers to inject malicious RPM packages into a users system.
CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H
Productos afectados
SUSE · libzypp¿Quieres saber si tu infraestructura está expuesta a esto?
Hablar con TrueHacking →