cryptomator 1.12.4 版本更新介绍
发布日期: 2024-03-27
版本号: 1.12.4
Cryptomator发布了1.12.4版本更新,修复了两个安全漏洞。第一个漏洞(CVE-2024-29187)涉及使用旧版WiX工具包(3.14.1之前版本)构建的MSI安装程序,可能通过目录连接删除系统目录;第二个漏洞(CVE-2024-29188)涉及EXE安装程序,攻击者可通过Windows临时目录执行任意二进制文件实现本地权限提升。建议用户立即移除存在漏洞的安装程序,安装此更新时会自动清除已缓存的旧版本。同时提供了新版本安装文件的SHA-256校验码及GPG签名验证方式,确保文件完整性。
更新内容 (中文)
变更内容
安全修复 🚨
- 受保护资源的删除问题: Cryptomator MSI 安装程序使用 WiX 工具包构建。使用 3.14.1 以下版本工具包构建的安装程序可能通过目录联接删除系统目录。(CVE-2024-29187)
- 本地权限提升漏洞: Cryptomator EXE 安装程序使用 WiX 工具包构建。使用 3.14.1 以下版本工具包构建的安装程序可能通过 Windows 临时目录执行任意二进制文件。(CVE-2024-29188)
建议从系统中移除存在漏洞的安装程序。安装本次更新时将自动清除已缓存的旧版安装程序。
完整更新日志: https://github.com/cryptomator/cryptomator/compare/1.12.3…1.12.4
💾 发布文件的 SHA-256 校验和:
c2a8442edff5e8355f5dad6600436f434e05d374d897643ca6bff32edabc5c38 .\\Cryptomator-1.12.4-x64.exe
939809d8bd0e8a31be311bd390c0d70c00196e22c83493a085285d72460474f4 .\\Cryptomator-1.12.4-x64.msi
常规操作: 可使用我们的公钥 5811 7AFA 1F85 B3EE C154 677D 615D 449F E6E6 A235 验证 GPG 签名。
更新内容 (原始)
What’s Changed
Security Fixes 🚨
- Deletion of protected resources: The Cryptomator MSI installer is build with the WiX toolkit. Installers build with a toolkit version below 3.14.1 can be used to delete system directories by using directory junctions. (CVE-2024-29187)
- Local Privilege Escalation: The Cryptomator EXE installer is build wiht the WiX toolkit. Installers build with a toolkit version below 3.14.1 can be used to execute arbitrary binaries by using the Windows temp directory. (CVE-2024-29188)
We advise to remove the vulnerable installers from the system. Already cached installers will be removed when installing this update.
Full Changelog: https://github.com/cryptomator/cryptomator/compare/1.12.3...1.12.4
💾 SHA-256 checksums of release artifacts:
c2a8442edff5e8355f5dad6600436f434e05d374d897643ca6bff32edabc5c38 .\Cryptomator-1.12.4-x64.exe
939809d8bd0e8a31be311bd390c0d70c00196e22c83493a085285d72460474f4 .\Cryptomator-1.12.4-x64.msi
As usual, the GPG signatures can be checked using our public key 5811 7AFA 1F85 B3EE C154 677D 615D 449F E6E6 A235.