PT-2024-5929 · Openssl+11 · Openssl+11
David Benjamin
+1
·
Publicado
2024-09-03
·
Atualizado
2026-04-27
·
CVE-2024-6119
CVSS v3.1
7.5
Alta
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H |
Nome do software vulnerável e versões afetadas
Versões do OpenSSL anteriores à 3.0.15
IBM AIX (versões afetadas não especificadas)
Descrição
O problema está relacionado a uma negação de serviço nas verificações de nomes X.509. Aplicativos que realizam verificações de nomes de certificados, como clientes TLS que verificam certificados de servidor, podem tentar ler um endereço de memória inválido ao comparar o nome esperado com um nome alternativo do sujeito
otherName de um certificado X.509. Isso pode resultar em uma exceção que encerra o programa aplicativo. A validação básica da cadeia de certificados não é afetada, e a negação de serviço só pode ocorrer quando o aplicativo também especifica um nome DNS, endereço de e-mail ou endereço IP esperado. Os servidores TLS geralmente não são afetados, e a gravidade do problema é Moderada.Recomendações
Para versões do OpenSSL anteriores à 3.0.15, atualize para a versão 3.0.15 ou posterior para resolver o problema.
Para o IBM AIX, no momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
DoS
Type Confusion
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Alt Linux
Almalinux
Astra Linux
Freebsd
Ibm Aix
Linuxmint
Openssl
Red Hat
Red Os
Rocky Linux
Suse
Ubuntu