PT-2020-5188 · Openssl+1 · Openssl+1
Kunjan Rathod
·
Publicado
2020-03-16
·
Atualizado
2021-11-02
·
CVE-2019-14887
CVSS v2.0
9.4
Crítica
| Vetor | AV:N/AC:L/Au:N/C:C/I:C/A:N |
Nome do software vulnerável e versões afetadas
Versões do Wildfly de 7.2.0.GA a 7.2.5.CR2
Descrição
Foi identificada uma falha quando um provedor de segurança OpenSSL é utilizado com o Wildfly, na qual o valor de ‘enabled-protocols’ na configuração do Wildfly não é respeitado. Isso poderia permitir que um invasor visasse o tráfego enviado pelo Wildfly e rebaixasse a conexão para uma versão mais fraca do TLS, potencialmente quebrando a criptografia e levando a um vazamento dos dados transmitidos pela rede.
Recomendações
Para a versão 7.2.0.GA do Wildfly, atualize para uma versão corrigida para resolver o problema.
Para a versão 7.2.3.GA do Wildfly, atualize para uma versão corrigida para resolver o problema.
Para a versão 7.2.5.CR2 do Wildfly, atualize para uma versão corrigida para resolver o problema.
Como solução alternativa temporária, considere restringir o uso do provedor de segurança OpenSSL até que um patch esteja disponível.
Restrinja o acesso à configuração vulnerável para minimizar o risco de exploração.
Correção
Inadequate Encryption Strength
Improper Handling of Exceptional Conditions
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Openssl
Wildfly