PT-2020-7591 · Ovirt · Ovirt-Engine-Sdk-Python
Publicado
2020-01-02
·
Atualizado
2022-05-17
·
CVE-2014-0161
CVSS v4.0
8.2
Alta
| Vetor | AV:N/AC:L/AT:P/PR:N/UI:N/VC:N/VI:H/VA:N/SC:N/SI:N/SA:N |
Nome do software vulnerável e versões afetadas
Versões do ovirt-engine-sdk-python anteriores à 3.4.0.7
Versões do ovirt-engine-sdk-python anteriores à 3.5.0.4
Descrição
O problema decorre da falha na verificação de que o nome do host do ponto de extremidade remoto corresponde ao Nome Comum (CN) ou ao subjectAltName, conforme especificado pelo seu certificado x.509 em uma sessão TLS/SSL. Isso poderia permitir que invasores do tipo man-in-the-middle falsificassem pontos de extremidade remotos por meio de um certificado válido arbitrário.
Recomendações
Para versões anteriores à 3.4.0.7, atualize para a versão 3.4.0.7 ou posterior.
Para versões anteriores à 3.5.0.4, atualize para a versão 3.5.0.4 ou posterior.
Correção
Improper Certificate Validation
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Ovirt-Engine-Sdk-Python