Vulnerabilità: CVE-2020-4045

SSB-DB versione 20.0.0 ha una vulnerabilità di divulgazione di informazioni. Il metodo get () si suppone che i messaggi solo Decrypt quando si chiede esplicitamente, ma c’è un bug in cui è decifrare qualsiasi messaggio che si può. Ciò significa che sta tornando il contenuto decifrato dei messaggi privati, che un peer malintenzionato potrebbe utilizzare per ottenere l’accesso ai dati privati. Questo riguarda solo i coetanei in esecuzione SSB-DB@20.0.0 che hanno anche messaggi privati, ed è noto solo per essere sfruttati se si sta eseguendo anche SSB-OOO (impostazione predefinita in SSB-Server), che espone un sottile involucro intorno get ( ) ai coetanei anonimi. Questo è stato risolto nella versione 20.0.1. Nota che gli utenti di SSB-Server verion 16.0.0 devono eseguire l’aggiornamento a 16.0.1 per ottenere la versione fissa di SSB-DB.


https://github.com/ssbc/ssb-db/security/advisories/GHSA-mpgr-2cx9-327h
https://github.com/ssbc/ssb-db/security/advisories/GHSA-mpgr-2cx9-327h
https://github.com/ssbc/ssb-db/commit/43334d0871c9cc6220e0f6d6338499060f7761d4
https://github.com/ssbc/ssb-db/commit/43334d0871c9cc6220e0f6d6338499060f7761d4
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-4045


E' possibile lasciare un commento come utenti registrati al sito, accedendo tramite social, account wordpress oppure come utenti anonimi. Nel caso in cui si desideri lasciare un commento come utenti anonimi si verrà avvisati via email di un'eventuale risposta solo se si inserisce l'indirizzo email (facoltativo). L'inserimento di qualsiasi dato nei campi dei commenti è totalmente facoltativo. Chiunque decida di inserire un qualsiasi dato accetta il trattamento di questi ultimi per i fini inerenti al servizio ovvero la risposta al commento e le comunicazioni strettamente necessarie.


Rispondi