CVE-2019-1000013:Hex签名软件包真实性验证漏洞
漏洞概述
漏洞编号:CVE-2019-1000013
严重程度:高危(CVSS评分8.8)
影响组件:Erlang的Hex包管理器hex_core
受影响版本:< 0.4.0
修复版本:0.4.0
漏洞详情
Hex包管理器hex_core在0.3.0及更早版本中存在签名验证漏洞。该漏洞位于软件包注册表验证机制中,导致软件包修改无法被检测,从而可能允许攻击者执行任意代码。
攻击向量
攻击者可以通过以下方式利用此漏洞:
- 受害者从恶意或被攻陷的镜像服务器获取软件包
- 由于签名验证不充分,被篡改的软件包不会被检测到
技术影响
- 机密性:高 - 可能泄露敏感数据
- 完整性:高 - 软件包可能被恶意修改
- 可用性:高 - 系统可能被完全控制
CVSS v3评分详情
| 指标 | 等级 | 说明 |
|---|---|---|
| 攻击向量 | 网络 | 攻击者可通过网络远程利用 |
| 攻击复杂度 | 低 | 攻击难度较低 |
| 所需权限 | 无 | 不需要特殊权限 |
| 用户交互 | 需要 | 需要用户交互 |
| 影响范围 | 未改变 | 漏洞影响范围限于当前组件 |
| 机密性影响 | 高 | 可能导致重大数据泄露 |
| 完整性影响 | 高 | 数据可能被完全篡改 |
| 可用性影响 | 高 | 系统可能完全不可用 |
修复方案
该漏洞已在hex_core 0.4.0版本中修复,建议所有使用受影响版本的用户立即升级到0.4.0或更高版本。
相关参考
安全弱点分类
CWE-345:数据真实性验证不足 - 产品未能充分验证数据的来源或真实性,导致接受无效数据。