ASA-2019-00528 – OpenPGP.js: Bypass de assinatura de mensagem


For the English version of this alert, click here.

Allele Security Alert

ASA-2019-00528

Identificador(es)

ASA-2019-00528, CVE-2019-9153

Título

Bypass de assinatura de mensagem

Fabricante(s)

ProtonMail

Produto(s)

OpenPGP.js

Versão(ões) afetada(s)

OpenPGP.js versões anteriores a 4.2.0

Versão(ões) corrigida(s)

OpenPGP.js versão 4.2.0

Prova de conceito

Sim

Descrição

Durante a verificação da assinatura de uma mensagem, o OpenPGP.js não verifica se a assinatura é do tipo text. Um atacante pode, portanto, construir uma mensagem que, em vez de uma assinatura de tipo text, contenha uma assinatura de outro tipo. Como a entrada necessária para o processo de verificação depende do tipo de assinatura, um atacante pode usar uma assinatura com um tipo que apenas verifique seus subpacotes e não exija entrada adicional.

Um atacante pode construir uma mensagem que contenha um pacote de assinatura válido “standalone” ou “timestamp” assinado por outra pessoa. O OpenPGP.js assume, incorretamente, que esta mensagem foi assinada por essa pessoa.

Detalhes técnicos

Desconhecido

Créditos

Wolfgang Ettlinger (SEC Consult Vulnerability Lab)

Referência(s)

Multiple Vulnerabilities in OpenPGP.js
https://sec-consult.com/en/blog/advisories/multiple-vulnerabilities-in-openpgp-js/

Mailvelope Extensions Security Audit
https://www.bsi.bund.de/SharedDocs/Downloads/EN/BSI/Publications/Studies/Mailvelope_Extensions/Mailvelope_Extensions_pdf.html

Mailvelope Extensions Security Audit [PDF]
https://www.bsi.bund.de/SharedDocs/Downloads/EN/BSI/Publications/Studies/Mailvelope_Extensions/Mailvelope_Extensions_pdf.pdf?__blob=publicationFile

SEC_Consult_BSI_Mailvelope-message_signature_bypass.txt
https://sec-consult.com/wp-content/uploads/2019/08/SEC_Consult_BSI_Mailvelope-message_signature_bypass.txt

Release v4.2.0 – Security Release · openpgpjs/openpgpjs
https://github.com/openpgpjs/openpgpjs/releases/tag/v4.2.0

Only accept binary or text signatures when verifying messages
https://github.com/openpgpjs/openpgpjs/pull/797/commits/327d3e5392a6f59a4270569d200c7f7a2bfc4cbc

CVE-2019-9153
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-9153

CVE-2019-9153
https://nvd.nist.gov/vuln/detail/CVE-2019-9153

Se encontrou algum erro neste alerta ou deseja uma análise compreensiva, entre em contato.

Última modificação: 4 setembro 2019

Não somos responsáveis por qualquer perda de dados, corrupção de dispositivos ou qualquer outro tipo de problema devido ao uso de qualquer informação mencionada em nossos alertas de segurança.