关键漏洞信息 漏洞标题 ttyrec files are not signed after encryption by the osh-encrypt-rsync script 严重性 等级: Moderate (4.4/10) 影响版本 受影响版本: = 3.22.00 描述 摘要: - 会话记录的 ttyrec 文件可能由提供的 osh-encrypt-rsync 脚本处理,该脚本用于定期轮换、加密、签名、复制并可选地将文件移动到远程存储。运行时,脚本正确地轮换和加密文件,但即使被要求签名,也会默默地失败。 详细信息: - 配置为签名文件时,脚本测试了 GPG 密钥的有效性和其正确签名文件的能力,但在运行时未能实际签名文件。 影响: - 文件未被签名,即使应该被签名,因此官方文档中的以下期望未得到满足: - 公钥用于验证签名并证明不可抵赖性和不可篡改性。 - 如果对 ttyrec 文件进行了未经授权的访问,并且具有足够权限修改它们,同时可以访问公钥 GPG 密钥进行加密,则可以篡改这些文件,而不会因缺乏 GPG 签名而被轻易检测到。 CVSS v3 基础指标 攻击向量: Local 攻击复杂度: Low 所需权限: High 用户交互: None 范围: Unchanged 机密性: None 完整性: High 可用性: None CVE ID CVE-2025-59339 弱点 无 CWEs 致谢 报告者: siv0 修复验证者: deathiop 修复审查者: speed47