PT-2020-6927 · Unknown+4 · Openconnect+4

Jordy Zomer

·

Publicado

2020-04-23

·

Atualizado

2024-12-25

·

CVE-2020-12105

CVSS v2.0

7.1

Alta

VetorAV:N/AC:M/Au:N/C:C/I:N/A:N
Nome do software vulnerável e versões afetadas
Versões do OpenConnect anteriores à 8.08
Descrição
O problema está relacionado ao tratamento incorreto de valores de retorno negativos provenientes de chamadas à função X509 check , o que poderia auxiliar invasores na realização de ataques man-in-the-middle. Essa vulnerabilidade está associada a falhas no tratamento de estados excepcionais na função X509 check do cliente VPN OpenConnect. A exploração dessa vulnerabilidade pode permitir que um invasor remoto acesse dados confidenciais.
Recomendações
Para versões do OpenConnect anteriores à 8.08, atualize para a versão 8.08 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso a dados confidenciais até que a atualização seja aplicada.

Correção

Improper Handling of Exceptional Conditions

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-755

Identificadores relacionados

ALT-PU-2020-1908
ALT-PU-2024-17486
ALT-PU-2024-17686
BDU:2023-07616
CVE-2020-12105
MGASA-2020-0251
OPENSUSE-SU-2020:0694-1
OPENSUSE-SU-2020_0694-1
OPENSUSE-SU-2024:11114-1
SUSE-SU-2020:1264-1
SUSE-SU-2020:1337-1
SUSE-SU-2020_1337-1
SUSE-SU-2024:0317-1

Produtos afetados

Alt Linux
Astra Linux
Debian
Openconnect
Suse