PT-2020-19351 · Fortinet+2 · Openfortivpn+2

Agustingianni

·

Publicado

2020-02-27

·

Atualizado

2024-06-15

·

CVE-2020-7041

CVSS v3.1

5.3

Média

VetorAV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N
Nome do software vulnerável e versões afetadas
openfortivpn versão 1.11.0
Descrição
Foi detectada uma falha no openfortivpn quando utilizado com o OpenSSL 1.0.2 ou versões posteriores, na qual o arquivo tunnel.c processa incorretamente a validação de certificados. Isso ocorre porque um código de erro negativo do X509 check host é interpretado incorretamente como um valor de retorno bem-sucedido.
Recomendações
Para o openfortivpn versão 1.11.0, considere atualizar para uma versão mais recente que lide corretamente com a validação de certificados ou, como solução temporária, restrinja o uso do OpenSSL a versões anteriores à 1.0.2 até que um patch esteja disponível.

Correção

Improper Certificate Validation

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-295

Identificadores relacionados

CVE-2020-7041
OPENSUSE-SU-2020:0301-1
OPENSUSE-SU-2020:0305-1
OPENSUSE-SU-2020_0301-1
OPENSUSE-SU-2024:11118-1

Produtos afetados

Openssl
Suse
Openfortivpn