PT-2024-6617 · Botan+4 · Botan+4

Moderaterandombit

·

Publicado

2024-07-08

·

Atualizado

2025-09-03

·

CVE-2024-39312

CVSS v3.1

5.3

Média

VetorAV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N
Nome do software vulnerável e versões afetadas:
Versões do Botan anteriores à 2.19.5
Versões do Botan anteriores à 3.5.0
Descrição:
Um bug na análise de extensões de restrição de nome em certificados X.509 fazia com que, se a extensão incluísse tanto subárvores permitidas quanto subárvores excluídas, apenas a subárvore permitida fosse verificada. Se um certificado incluísse um nome que fosse permitido pela subárvore permitida, mas também excluído pela subárvore excluída, ele seria aceito. Este problema está relacionado ao procedimento de autenticação da biblioteca de criptografia Botan C++.
Recomendações:
Para versões anteriores à 2.19.5, atualize para a versão 2.19.5 ou posterior.
Para versões anteriores à 3.5.0, atualize para a versão 3.5.0 ou posterior.

Exploit

Correção

Improper Certificate Validation

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-295

Identificadores relacionados

AZL-43825
AZL-44286
BDU:2024-07775
CVE-2024-39312
GHSA-JP24-56JM-GG86
OESA-2024-1923
OESA-2024-1924
OESA-2024-1925
OPENSUSE-SU-2024:0201-1
OPENSUSE-SU-2024:14188-1
USN-7586-1

Produtos afetados

Botan
Debian
Linuxmint
Red Os
Ubuntu