CVE-2022-21672

Versões do make-ca de 0.9 a 1.10

O make-ca é um utilitário para fornecer e gerenciar uma configuração completa de PKI para estações de trabalho e servidores. A partir da versão 0.9 e até a versão 1.10, o make-ca interpreta incorretamente o arquivo certdata.txt do Mozilla e trata certificados explicitamente não confiáveis como se fossem confiáveis, fazendo com que esses certificados explicitamente não confiáveis sejam considerados confiáveis pelo sistema. Os certificados explicitamente não confiáveis foram utilizados por algumas CAs que já foram hackeadas. Invasores mal-intencionados podem realizar um ataque MIM explorando-os.

Para as versões 0.9 a 1.10 do make-ca, atualize para o make-ca-1.10 e execute make-ca -f -g como usuário root para regenerar o armazenamento confiável imediatamente.

Como solução temporária, os usuários podem excluir os certificados não confiáveis de /etc/pki/tls e /etc/ssl/certs manualmente (ou por meio de um script), mas isso não é recomendado, pois as alterações manuais serão sobrescritas na próxima vez que o make-ca for executado para atualizar a âncora de confiança.