Error CVE en GNOME Evolution

vulnerabilidad

GNOME Evolution a través de 3.38.3 produce un mensaje de Firma válida para un identificador desconocido en una clave previamente confiable porque Evolution no recupera suficiente información de la API de GnuPG

FWIU, actualmente --verify considera que una firma es confiable si se realiza con una clave que tiene al menos un UID confiable. Esto no es óptimo para la verificación por lotes, ya que significa que una persona cuya identidad he verificado en el pasado puede agregar un UID falsificado y, aunque no será de confianza, muchos programas asumirán felizmente que la firma es confiable.

La forma en que se implementa la verificación de firmas de correo electrónico en Evolution (y probablemente debido a un gpg --status-fd ...diseño deficiente ), una firma se puede informar como confiable con UID falsificado si otro UID en la misma clave está marcado como confiable. Déjame explicarte esto un poco.

Digamos que tenemos tres personas: Alice, Bob y Eve. Originalmente, tanto Alice como Eve tienen sus identificadores reales en su clave, y ambas se ganan la plena confianza de Bob (en términos de WoT). Efectivamente, el gpg de Bob informará que las firmas de Alice y Eve son confiables, con sus UID apropiados.

Ahora, Eve agrega a su clave un nuevo UID que falsifica el UID de Alice. Normalmente, este UID es informado por gpg como de confianza 'desconocida', lo cual es correcto. Si Eve hace una firma, gpg --verifyindica los estados de ambos UID:

gpg: Signature made sob, 26 sty 2019, 09:01:16 CET

gpg: using RSA key EDA1165366204A694417B2FC551A87083FDCFBF0

gpg: Good signature from "Alice alice@example.com" [unknown]

gpg: aka "Eve eve@example.com" [full]

Sin embargo, la --status-fdsalida no indica realmente que:

[GNUPG:] NEWSIG

[GNUPG:] KEY_CONSIDERED EDA1165366204A694417B2FC551A87083FDCFBF0 0

[GNUPG:] SIG_ID dbb5pG09OgJI0cRPGjqs2ZFAqyw 2019-01-26 1548489676

[GNUPG:] KEY_CONSIDERED EDA1165366204A694417B2FC551A87083FDCFBF0 0

[GNUPG:] GOODSIG 551A87083FDCFBF0 Alice

[GNUPG:] VALIDSIG EDA1165366204A694417B2FC551A87083FDCFBF0 2019-01-26 1548489676 0 4 0 1 8 01 EDA1165366204A694417B2FC551A87083FDCFBF0

[GNUPG:] KEY_CONSIDERED EDA1165366204A694417B2FC551A87083FDCFBF0 0

[GNUPG:] TRUST_FULLY 0 pgp

[GNUPG:] VERIFICATION_COMPLIANCE_MODE 23

Efectivamente, Evolution es engañado para que informe un verde Valid signature (Alice alice@example.com), aunque no se confía en Alice UID .

Reproducir:

Cree GNUPGHOMEs para Alice, Bob y Eve, y cree nuevas claves con UID únicos para cada uno de ellos.

Importe las claves públicas de Alice y Eve a Bob. Firma a ambos.

Importar la clave pública firmada de Eve a Eve.

Úselo adduiden la clave de Eve para crear un UID que coincida con el de Alice.

Crea un nuevo correo en formato mbox firmado con la clave de Eve. Manera fácil: cree un archivo de texto --clearsign, agregue encabezados de correo.

Importe el archivo como mbox a Evolution y abra el correo

Referencias:

https://dev.gnupg.org/T4735

https://gitlab.gnome.org/GNOME/evolution/-/issues/299

https://mgorny.pl/articles/evolution-uid-trust-extrapolation.html

Gracias por visitar este sitio, espero que te haya gustado y vuelvas proximamente, compartela en las redes sociales, gracias

Compartir en Facebook Compartir en twitter

Semrush sigue a tu competencia

Fecha actualización el 2021-02-02. Fecha publicación el 2021-02-02. Categoría: vulnerabilidad Autor: Oscar olg Mapa del sitio Fuente: NIST