阿里云漏洞库

低危 SKS Keyserver up to 1.2.0 sks-keyserver Persistent 拒绝服务漏洞

CVE编号

CVE-2019-13050

利用情况

暂无

补丁情况

官方补丁

披露时间

2019-06-30

漏洞描述

通过SKSkeyserver网络的1.2.0与Gnu PG通过2.2.16之间的交互，使得使用GnuPGkeyserver配置行引用SKSkeyserver网络上的主机具有风险。从该网络检索数据可能会导致持续拒绝服务，因为证书垃圾邮件攻击。

解决建议

建议您更新当前系统或软件至最新版，完成漏洞的修复。

参考链接
http://lists.opensuse.org/opensuse-security-announce/2019-08/msg00039.html
https://gist.github.com/rjhansen/67ab921ffb4084c865b3618d6955275f
https://lists.apache.org/thread.html/r58af02e294bd07f487e2c64ffc0a29b837db560...
https://lists.apache.org/thread.html/rf4c02775860db415b4955778a131c2795223f61...
https://lists.apache.org/thread.html/rf9fa47ab66495c78bb4120b0754dd9531ca2ff0...
https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedora...
https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedora...
https://lists.gnupg.org/pipermail/gnupg-announce/2019q3/000439.html
https://support.f5.com/csp/article/K08654551
https://support.f5.com/csp/article/K08654551?utm_source=f5support&amp%3Butm_m...
https://twitter.com/lambdafu/status/1147162583969009664

受影响软件情况

1
#	类型	厂商	产品	版本	影响面
	运行在以下环境
	应用	gnupg	gnupg	*		Up to (including) 2.2.16
	运行在以下环境
	应用	sks_keyserver_project	sks_keyserver	*		Up to (including) 1.2.0
	运行在以下环境
	系统	alma_linux_8	gnupg2	*		Up to (excluding) 2.2.20-2.el8
	运行在以下环境
	系统	fedora_29	gnupg2	*		Up to (excluding) 2.2.17-1.fc29
	运行在以下环境
	系统	fedora_30	gnupg2	*		Up to (excluding) 2.2.17-1.fc30
	运行在以下环境
	系统	opensuse_Leap_15.0	gpg2	*		Up to (excluding) 2.2.5-lp151.6.3.1
	运行在以下环境
	系统	opensuse_Leap_15.1	gpg2	*		Up to (excluding) 2.2.5-lp151.6.3.1
	运行在以下环境
	系统	oracle_8	gnupg2	*		Up to (excluding) 2.2.20-2.el8
	运行在以下环境
	系统	redhat_8	gnupg2	*		Up to (excluding) 2.2.20-2.el8
	运行在以下环境
	系统	rocky_linux_8	gnupg2	*		Up to (excluding) 2.2.20-2.el8
	运行在以下环境
	系统	suse_12_SP4	gpg2	*		Up to (excluding) 2.0.24-9.8.1

攻击路径

远程
攻击复杂度

复杂
权限要求

无需权限
影响范围

有限影响
EXP成熟度

未验证
补丁情况

官方补丁
数据保密性

无影响
数据完整性

无影响
服务器危害

无影响
全网数量

100

CWE-ID	漏洞类型
CWE-295	证书验证不恰当
CWE-297	对宿主不匹配的证书验证不恰当