CVSS: 4.7EPSS: 0%CPEs: 74EXPL: 0CVE-2019-15796 – python-apt downloads from untrusted sources
https://notcve.org/view.php?id=CVE-2019-15796
Python-apt doesn't check if hashes are signed in `Version.fetch_binary()` and `Version.fetch_source()` of apt/package.py or in `_fetch_archives()` of apt/cache.py in version 1.9.3ubuntu2 and earlier. This allows downloads from unsigned repositories which shouldn't be allowed and has been fixed in verisions 1.9.5, 1.9.0ubuntu1.2, 1.6.5ubuntu0.1, 1.1.0~beta1ubuntu0.16.04.7, 0.9.3.5ubuntu3+esm2, and 0.8.3ubuntu7.5. Python-apt no comprueba si los hashes están firmados en las funciones "Version.fetch_binary()" y "Version.fetch_source()" del archivo apt/package.py o en la función "_fetch_archives()" del archivo apt/cache.py en versión 1.9. 3ubuntu2 y anteriores. Esto permite descargas desde repositorios no firmados que no deberían ser permitidos y ha sido corregido en las versiones 1.9.5, 1.9.0ubuntu1.2, 1.6.5ubuntu0.1, 1.1.0~beta1ubuntu0.16.04.7, 0.9.3.5ubuntu3+esm2 y 0.8.3ubuntu7.5. • https://usn.ubuntu.com/4247-1 https://usn.ubuntu.com/4247-3 • CWE-287: Improper Authentication CWE-347: Improper Verification of Cryptographic Signature •
CVSS: 4.7EPSS: 0%CPEs: 74EXPL: 0CVE-2019-15795 – python-apt uses MD5 for validation
https://notcve.org/view.php?id=CVE-2019-15795
python-apt only checks the MD5 sums of downloaded files in `Version.fetch_binary()` and `Version.fetch_source()` of apt/package.py in version 1.9.0ubuntu1 and earlier. This allows a man-in-the-middle attack which could potentially be used to install altered packages and has been fixed in versions 1.9.0ubuntu1.2, 1.6.5ubuntu0.1, 1.1.0~beta1ubuntu0.16.04.7, 0.9.3.5ubuntu3+esm2, and 0.8.3ubuntu7.5. Python-apt solo comprueba las cantidades MD5 de los archivos descargados en las funciones "Version.fetch_binary()" y "Version.fetch_source()" del archivo apt/package.py en la versión 1.9.0ubuntu1 y anteriores. Esto permite un ataque de tipo man-in-the-middle que podría ser usado para instalar paquetes alterados y ha sido corregido en las versiones 1.9.0ubuntu1.2, 1.6.5ubuntu0.1, 1.1.0~beta1ubuntu0.16.04.7, 0.9. 3.5ubuntu3+esm2, y 0.8.3ubuntu7.5. • https://usn.ubuntu.com/4247-1 https://usn.ubuntu.com/4247-3 • CWE-327: Use of a Broken or Risky Cryptographic Algorithm •