Linux Distros 未修补的漏洞:CVE-2019-11841
medium Nessus 插件 ID 250434
语言:
简介
Linux/Unix 主机上安装的一个或多个程序包存在漏洞,但供应商表示不会修补此漏洞。描述
Linux/Unix 主机中安装的一个或多个程序包受到一个漏洞影响,而供应商没有提供补丁程序。在附属 Go 密码库 2019-03-25 的 crypto/openpgp/clearsign/clearsign.go 中发现消息伪造问题。根据 RFC 4880 第 7 章中的 OpenPGP 消息格式规范,明文签名消息可包含一个或多个可选 Hash Armour 标头。Hash Armor 标头指定了用于签名的消息摘要算法。但是,Go 明文签名程序包忽略了此标头的值,这使得攻击者能够对其进行伪造。因此,攻击者可导致受害者相信该签名是使用与实际使用的消息摘要算法不同的消息摘要算法生成的。此外,由于该库通常会跳过 Armor 标头解析,因此攻击者不仅可以嵌入任意 Armor 标头,还能够在不使签名失效的情况下,在明文消息前加上任意文本。(CVE-2019-11841)
请注意,Nessus 依赖供应商报告的程序包是否存在进行判断。
解决方案
目前尚未有任何已知的解决方案。另见
插件详情
严重性: Medium
ID: 250434
文件名: unpatched_CVE_2019_11841.nasl
版本: 1.1
类型: local
代理: unix
系列: Misc.
发布时间: 2025/8/18
最近更新时间: 2025/8/18
支持的传感器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus
风险信息
VPR
风险因素: Medium
分数: 4.4
CVSS v2
风险因素: Medium
基本分数: 4.3
时间分数: 3.4
矢量: CVSS2#AV:N/AC:M/Au:N/C:N/I:P/A:N
CVSS 分数来源: CVE-2019-11841
CVSS v3
风险因素: Medium
基本分数: 5.9
时间分数: 5.3
矢量: CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:H/A:N
时间矢量: CVSS:3.0/E:P/RL:O/RC:C
漏洞信息
CPE: cpe:/o:canonical:ubuntu_linux:16.04:-:lts, p-cpe:/a:canonical:ubuntu_linux:golang-go.crypto, cpe:/o:canonical:ubuntu_linux:18.04:-:lts
必需的 KB 项: Host/local_checks_enabled, Host/cpu, global_settings/vendor_unpatched, Host/OS/identifier
可利用: true
易利用性: Exploits are available
漏洞发布日期: 2019/5/22
参考资料信息
CVE: CVE-2019-11841