PT-2024-10115 · Ericsson+3 · Erlang/Otp+3
Starbelly
·
Publicado
2024-12-05
·
Atualizado
2026-01-14
·
CVE-2024-53846
CVSS v3.1
5.5
Média
| Vetor | AV:N/AC:H/PR:H/UI:N/S:C/C:L/I:L/A:L |
Nome do software vulnerável e versões afetadas
Versões 25.3.2.8 a 27.0 do Erlang OTP
Versão 26.2 do Erlang OTP
Versões do Erlang OTP anteriores à 27.1.3
Descrição
Uma regressão na aplicação SSL do Erlang OTP faz com que um servidor ou cliente verifique o par mesmo quando é apresentado um uso incorreto da chave estendida. Essa falha pode ser explorada por um invasor remoto para realizar um ataque man-in-the-middle (MitM), permitindo acesso não autorizado. A vulnerabilidade está relacionada a erros no procedimento de autenticação de certificados e à verificação incorreta de certificados.
Recomendações
Para as versões 25.3.2.8 a 27.0 do Erlang OTP, atualize para uma versão posterior à 27.1.3.
Para a versão 26.2 do Erlang OTP, atualize para uma versão posterior à 27.1.3.
Para as versões do Erlang OTP anteriores à 27.1.3, atualize para a versão 27.1.3 ou posterior.
Como solução temporária, considere restringir o uso do aplicativo ssl até que um patch esteja disponível.
Exploit
Correção
Improper Certificate Validation
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Erlang/Otp
Linuxmint
Red Os
Ubuntu