Hex 签名包真实性验证漏洞分析与修复

本文详细分析了 Hex 包管理器 hex_core 在 0.3.0 及更早版本中存在的签名验证漏洞(CVE-2019-1000013)。该漏洞允许攻击者通过恶意镜像篡改软件包,可能导致代码执行。漏洞已在 0.4.0 版本中修复。

Hex 签名包真实性验证漏洞 · CVE-2019-1000013

摘要 Hex 包管理器 hex_core 0.3.0 及更早版本中存在一个签名验证漏洞(CVE-2019-1000013),该漏洞允许攻击者通过恶意或已被入侵的镜像服务器篡改软件包,且篡改行为无法被检测到,最终可能导致远程代码执行。此漏洞在 hex_core 0.4.0 版本中已得到修复。

漏洞详情

  • 漏洞标识符: CVE-2019-1000013 / GHSA-q3cc-rr2c-87r6
  • 影响组件: Erlang 的 Hex 包管理器 hex_core
  • 受影响版本: 0.3.0 及更早版本
  • 已修复版本: 0.4.0
  • 严重等级: 高危 (CVSS 3.0 评分 8.8)
  • 弱点分类: CWE-345 - 数据真实性验证不足

漏洞描述 hex_core 在 0.3.0 及更早版本中,其包注册表验证机制存在一个“签名预言机”漏洞。具体而言,系统未能充分验证已签名软件包的真实性。攻击者可以利用此漏洞,在受害者从恶意或被攻陷的镜像服务器获取软件包时,对软件包进行篡改,而篡改行为不会被系统检测到。这为攻击者植入恶意代码并执行创造了条件。

技术影响

  • 攻击向量: 网络
  • 攻击复杂度: 低
  • 所需权限: 无
  • 用户交互: 需要(受害者需从恶意源获取包)
  • 影响范围: 未改变
  • 机密性影响: 高(可访问敏感数据)
  • 完整性影响: 高(可任意修改数据)
  • 可用性影响: 高(可导致服务完全中断)

修复与参考 该漏洞已在 hex_core 的 0.4.0 版本中修复。用户应立即升级到该版本或更高版本。

  • 官方漏洞公告:https://nvd.nist.gov/vuln/detail/CVE-2019-1000013
  • GitHub 相关问题跟踪:

附加信息

  • 发布日期(NVD): 2019年2月4日
  • 收录至 GitHub 公告数据库: 2022年5月13日
  • 最后更新: 2024年5月2日
  • 漏洞利用预测评分系统(EPSS): 0.233% (第46百分位)
comments powered by Disqus
© 2020 - 2026 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次