PT-2022-10608 · Cockpit+7 · Cockpit+7

Guilherme De Almeida Suckevicz

·

Publicado

2022-03-08

·

Atualizado

2026-01-29

·

CVE-2021-3698

CVSS v3.1

7.5

Alta

VetorAV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
Nome do software vulnerável e versões afetadas
Versões do Cockpit anteriores à 260
Descrição
Foi identificada uma falha na forma como o Cockpit lida com a verificação de certificados realizada pelo System Security Services Daemon (SSSD), permitindo que certificados de cliente sejam autenticados com sucesso, independentemente da configuração da Lista de Revogação de Certificados (CRL) ou do status do certificado. O maior risco decorrente desse problema é à confidencialidade.
Recomendações
Para versões anteriores à 260, atualize para a versão 260 ou posterior para resolver o problema. Como solução temporária, considere restringir o uso de certificados de cliente até que um patch esteja disponível.

Correção

Improper Certificate Validation

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-295

Identificadores relacionados

ALSA-2022:2008
ALT-PU-2022-3242
CESA-2022_2008
CVE-2021-3698
MGASA-2022-0202
RHSA-2022:2008
RHSA-2022_2008
RLSA-2022:2008

Produtos afetados

Alt Linux
Almalinux
Centos
Cockpit
Debian
Red Hat
Red Os
Rocky Linux