PT-2020-6619 · Mbed Tls+1 · Mbed Tls+1
Kfyatek
·
Publicado
2020-07-17
·
Atualizado
2025-08-21
·
CVE-2020-36477
CVSS v3.1
5.9
Média
| Vetor | AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:H/A:N |
Nome do software vulnerável e versões afetadas
Versões do Mbed TLS anteriores à 2.24.0
Descrição
Uma falha na verificação de certificados X.509 permite que um invasor se faça passar por um domínio ao obter um certificado para o endereço IPv4 ou IPv6 correspondente, desde que controle esse endereço IP. O problema surge quando a extensão subjectAltName está presente e o nome esperado é comparado a qualquer nome nessa extensão, independentemente de seu tipo.
Recomendações
Para versões anteriores à 2.24.0, atualize para a versão 2.24.0 ou posterior para resolver o problema. Como solução alternativa temporária, considere restringir o uso da função
mbedtls x509 crt verify até que um patch esteja disponível. Evite usar o argumento cn de mbedtls x509 crt verify com certificados que tenham uma extensão subjectAltName até que o problema seja resolvido.Correção
Improper Certificate Validation
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Alt Linux
Mbed Tls