Vulnerabilidad en ** DISPUTADA ** (CVE-2009-0125)
Gravedad CVSS v2.0:
MEDIA
Tipo:
CWE-287
Autenticación incorrecta
Fecha de publicación:
15/01/2009
Última modificación:
09/04/2025
Descripción
** DISPUTADA ** NOTA: este problema ha sido disputado por el proveedor de origen. nasl/nasl_crypto2.c en la librería Nessus Attack Scripting Language (también conocida como libnasl) 2.2.11 no comprueba correctamente el valor de retorno de la función DSA_do_verify function de OpenSSL, lo que permite a atacantes remotos evadir la validación de una cadena de certificados a través de una firma SSL/TLS malformada, una vulnerabilidad similar a CVE-2008-5077. NOTA: el proveedor de origen ha disputado este problema, diciendo que 'aunque hacemos un uso indebido de esta función (se trata de un bug), no tiene ninguna ramificación de seguridad.'
Impacto
Puntuación base 2.0
5.00
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:finkproject:libnasl:2.2.11:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=511517
- http://cvs.fedoraproject.org/viewvc/rpms/libnasl/F-10/libnasl.spec?r1=1.16&r2=1.17
- http://lists.opensuse.org/opensuse-security-announce/2009-02/msg00000.html
- http://openwall.com/lists/oss-security/2009/01/12/4
- http://www.attrition.org/pipermail/vim/2009-January/002133.html
- https://bugzilla.redhat.com/show_bug.cgi?id=479655
- http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=511517
- http://cvs.fedoraproject.org/viewvc/rpms/libnasl/F-10/libnasl.spec?r1=1.16&r2=1.17
- http://lists.opensuse.org/opensuse-security-announce/2009-02/msg00000.html
- http://openwall.com/lists/oss-security/2009/01/12/4
- http://www.attrition.org/pipermail/vim/2009-January/002133.html
- https://bugzilla.redhat.com/show_bug.cgi?id=479655