Vulnerabilidad en Servicios Windows HTTP (CVE-2009-0089)
Gravedad CVSS v2.0:
MEDIA
Tipo:
CWE-20
Validación incorrecta de entrada
Fecha de publicación:
15/04/2009
Última modificación:
09/04/2025
Descripción
Servicios Windows HTTP (también conocido como WinHTTP) en Microsoft Windows 2000 SP4, XP SP2 y SP3, Server 2003 SP1 y SP2, y Vista Gold permite a servidores web remotos suplantar sitios web https de su elección utilizando envenenamiento de DNS "reenvío de conexión" a un sitio web https diferente que tiene un certificado válido coincidiendo con su propio nombre de dominio, pero un certificado no coincide con el nombre de dominio del host solicitado por el usuario, también conocido como "Vulnerabilidad de desajuste de nombre de certificado en servicios Windows HTTP".
Impacto
Puntuación base 2.0
5.80
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
CPE | Desde | Hasta |
---|---|---|
cpe:2.3:o:microsoft:windows_2000:*:sp4:*:*:*:*:*:* | ||
cpe:2.3:o:microsoft:windows_server_2003:*:*:*:*:*:*:*:* | ||
cpe:2.3:o:microsoft:windows_server_2003:*:sp1:*:*:*:*:*:* | ||
cpe:2.3:o:microsoft:windows_server_2003:*:sp1:itanium:*:*:*:*:* | ||
cpe:2.3:o:microsoft:windows_server_2003:*:sp2:*:*:*:*:*:* | ||
cpe:2.3:o:microsoft:windows_server_2008:*:*:itanium:*:*:*:*:* | ||
cpe:2.3:o:microsoft:windows_server_2008:*:*:x32:*:*:*:*:* | ||
cpe:2.3:o:microsoft:windows_server_2008:*:*:x64:*:*:*:*:* | ||
cpe:2.3:o:microsoft:windows_vista:*:*:x64:*:*:*:*:* | ||
cpe:2.3:o:microsoft:windows_vista:*:gold:*:*:*:*:*:* | ||
cpe:2.3:o:microsoft:windows_vista:*:sp1:*:*:*:*:*:* | ||
cpe:2.3:o:microsoft:windows_xp:*:*:pro_x64:*:*:*:*:* | ||
cpe:2.3:o:microsoft:windows_xp:*:sp2:*:*:*:*:*:* | ||
cpe:2.3:o:microsoft:windows_xp:*:sp2:pro_x64:*:*:*:*:* | ||
cpe:2.3:o:microsoft:windows_xp:*:sp3:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://secunia.com/advisories/34677
- http://www.securityfocus.com/bid/34437
- http://www.securitytracker.com/id?1022041=
- http://www.us-cert.gov/cas/techalerts/TA09-104A.html
- http://www.vupen.com/english/advisories/2009/1027
- https://docs.microsoft.com/en-us/security-updates/securitybulletins/2009/ms09-013
- https://oval.cisecurity.org/repository/search/definition/oval%3Aorg.mitre.oval%3Adef%3A6027
- http://secunia.com/advisories/34677
- http://www.securityfocus.com/bid/34437
- http://www.securitytracker.com/id?1022041=
- http://www.us-cert.gov/cas/techalerts/TA09-104A.html
- http://www.vupen.com/english/advisories/2009/1027
- https://docs.microsoft.com/en-us/security-updates/securitybulletins/2009/ms09-013
- https://oval.cisecurity.org/repository/search/definition/oval%3Aorg.mitre.oval%3Adef%3A6027