低危 GnuPG任意代码执行漏洞
CVE编号
CVE-2020-24972利用情况
暂无补丁情况
官方补丁披露时间
2020-08-30漏洞描述
GnuPG是GNU计划的一套开源的加密软件,采用GNU通用公共许可证。该软件支持公钥、对称加密、散列等算法。<br /> GnuPG Kleopatra 组件3.1.12之前版本和20.07.80之前版本存在任意代码执行漏洞。该漏洞源于程序在缺少安全处理命令行选项的情况下支持openpgp4fpr:URL(Qt platformpluginpath命令行选项可用于加载任意DLL)。攻击者可以利用该漏洞执行任意代码。解决建议
厂商已发布了漏洞修复程序,请及时关注更新:https://dev.gnupg.org/rKLEOPATRAb4bd63c1739900d94c04da03045e9445a5a5f54b受影响软件情况
| # | 类型 | 厂商 | 产品 | 版本 | 影响面 | ||||
| 1 | |||||||||
|---|---|---|---|---|---|---|---|---|---|
| 运行在以下环境 | |||||||||
| 应用 | kleopatra_project | kleopatra | * | Up to (excluding) 20.07.80 | |||||
| 运行在以下环境 | |||||||||
| 系统 | debian_10 | kleopatra | * | Up to (including) 18.08.3-1 | |||||
| 运行在以下环境 | |||||||||
| 系统 | debian_11 | kleopatra | * | Up to (excluding) 4:20.08.2-2 | |||||
| 运行在以下环境 | |||||||||
| 系统 | debian_12 | kleopatra | * | Up to (excluding) 4:20.08.2-2 | |||||
| 运行在以下环境 | |||||||||
| 系统 | debian_9 | kleopatra | * | Up to (including) 16.04.2-2 | |||||
| 运行在以下环境 | |||||||||
| 系统 | debian_sid | kleopatra | * | Up to (excluding) 4:20.08.2-2 | |||||
| 运行在以下环境 | |||||||||
| 系统 | fedora_32 | kleopatra-debugsource | * | Up to (excluding) 19.12.2-2.fc32 | |||||
| 运行在以下环境 | |||||||||
| 系统 | opensuse_Leap_15.1 | kleopatra-lang | * | Up to (excluding) 18.12.3-lp151.2.4.1 | |||||
- 攻击路径 远程
- 攻击复杂度 复杂
- 权限要求 无需权限
- 影响范围 有限影响
- EXP成熟度 未验证
- 补丁情况 官方补丁
- 数据保密性 无影响
- 数据完整性 无影响
- 服务器危害 无影响
- 全网数量 100
| CWE-ID | 漏洞类型 |
| CWE-116 | 对输出编码和转义不恰当 |
Exp相关链接
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
评论