1.漏洞描述 RPM 的签名功能存在缺陷。OpenPGP 子键通过 "绑定签名 "与主键关联。RPM 在导入子密钥之前不会检查其绑定签名。如果攻击者能够向合法的公开密钥添加或通过社交工程向另一方添加恶意子密钥，RPM 就会错误地信任恶意签名。此缺陷的最大影响是数据完整性。要利用这一缺陷，攻击者必须入侵 RPM 资源库或说服管理员安装不受信任的 RPM 或公钥。强烈建议只使用来自可信来源的 RPM 和公钥。 2.影响产品(系统版本 是否受影响) 银河麒麟高级服务器操作系统 V10 SP3 不影响 3.漏洞评分( 漏洞编号 危害程度 CVSS 3.1 评分 漏洞类型) CVE-2021-3521 中等 4.4 其他 漏洞评分向量：CVSS:3.1/AV:L/AC:H/PR:L/UI:R/S:U/C:N/I:H/A:N 4.修复方案 无需修复