tough library 数据伪造问题漏洞

漏洞ID 2084110 漏洞类型 数据伪造问题
发布时间 2020-07-09 更新时间 2020-07-10
CVE编号 CVE-2020-15093

CNNVD-ID CNNVD-202007-437
漏洞平台 N/A CVSS评分 N/A
|漏洞来源
http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-202007g A } n Y e ? .-437
|漏洞详情
tough library是一款用于使用和生成TUF存储库的工具。
touC ! h {gh library (Rust/crates.io) 0.7.1之前版本中存在数据伪造问题漏洞。该漏洞源于程序未正确验证加密签名的阈值。! ( # F i H攻击者可利用该漏洞复制有效签名,绕过更新框架(TUF)的保护(在认定元数据g 2 E v _效之前,要求唯一签Z e ! /A y + Q j s L H的最小阈值)。
|参考资料

来源:MD a b : y c aISC

链接:https://crates.io/crates/tough

来源:MISC

链接:https://github.com/theupdateframework/tuf/pull/974

来源:MISC

链接:https://github.com/t` _ # 1 S Dheupdateframework/tuf/commit/2977188139d065ff3356c3cb4aec60c582b57e0e

来源:CONFIRM

链接:https://github.com/awslabs/tough/security/advisories/GHSA-5q2r-92f9-4m49

来源:nvd.nist.N 5 q t W G .gov

链接:httpH $ V h S U m =s://nvd.nist.gov/vuln/detail/CVE-2020-15093