CVE-2022-31156

Gradle es una herramienta de construcción. La verificación de dependencias es una característica de seguridad en la herramienta de construcción Gradle que fue introducida para permitir la comprobación de las dependencias externas mediante su suma de comprobación o de firmas criptográficas. En versiones 6.2 hasta 7.4.2, se presentan algunos casos en los que Gradle puede omitir esa verificación y aceptar una dependencia que, de otro modo, fallaría en la compilación como un artefacto externo no confiable. Esto puede ocurrir de dos maneras. Cuando la verificación de firmas está deshabilitada pero los metadatos de verificación contienen entradas para dependencias que sólo presentan un elemento "gpg" pero ningún elemento "checksum". Cuando la verificación de firmas está habilitada, los metadatos de verificación contienen entradas para dependencias con un elemento "gpg" pero no es presentado ningún archivo de firma en el repositorio remoto. En ambos casos, la verificación aceptará la dependencia, omitiendo la verificación de la firma y no quejándose de que la dependencia no presenta una entrada de suma de comprobación. Para las construcciones que son vulnerables, se presentan dos riesgos. Gradle podría descargar un binario malicioso de un repositorio fuera de su organización debido a la ocupación de nombres. Para aquellos que todavía usan HTTP y no HTTPS para descargar dependencias, la compilación podría descargar una biblioteca maliciosa en lugar de la esperada. Gradle versión 7.5 parchea este problema al asegurarse de ejecutar la verificación de la suma de comprobación si la verificación de la firma no puede completarse, sea cual sea el motivo. Se presentan dos mitigaciones disponibles: Eliminar todos los elementos "gpg" de los metadatos de verificación de dependencias si es deshabilitada la comprobación de firmas y/o evitar añadir entradas "gpg" para las dependencias que no presentan archivos de firma