PT-2020-16363 · Opencast Community · Opencast
Intrigus-Lgtm
·
Publicado
2020-12-08
·
Atualizado
2020-12-10
·
CVE-2020-26234
CVSS v3.1
4.8
Média
| Vetor | AV:N/AC:H/PR:L/UI:R/S:U/C:N/I:H/A:N |
Nome do software vulnerável e versões afetadas
Versões do Opencast anteriores à 7.9
Versões do Opencast anteriores à 8.9
Descrição
O problema diz respeito ao cliente HTTP do Opencast, que desativa a verificação do nome do host HTTPS em grande parte de suas solicitações HTTP. A verificação do nome do host é crucial ao usar HTTPS para garantir que o certificado apresentado seja válido para o host. Desativá-la pode permitir ataques man-in-the-middle. Este problema foi corrigido no Opencast 7.9 e no Opencast 8.9. Após a correção, o Opencast não aceitará mais certificados autoassinados sem importá-los adequadamente para o armazenamento de chaves Java.
Recomendações
Para versões do Opencast anteriores à 7.9, atualize para o Opencast 7.9 ou posterior para corrigir o problema.
Para versões do Opencast anteriores à 8.9, atualize para o Opencast 8.9 ou posterior para corrigir o problema.
Como medida de mitigação geral, considere importar certificados autoassinados para o armazenamento de chaves Java ou obter um certificado válido para garantir uma comunicação segura.
Correção
Origin Validation Error
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Opencast