Vulnerabilidad en la función urlopen en Gentoo Portage (CVE-2013-2100)
Gravedad CVSS v2.0:
ALTA
Tipo:
CWE-310
Errores criptográficos
Fecha de publicación:
29/09/2014
Última modificación:
12/04/2025
Descripción
La función urlopen en pym/portage/util/_urlopen.py en Gentoo Portage 2.1.12, cuando utiliza HTTPS, no verifica los certificados X.509 de los servidores SSL, lo que permite a atacantes man-in-the-middle falsificar servidores y modificar listas de paquetes binarios a través de un certificado manipulado.
Impacto
Puntuación base 2.0
9.30
Gravedad 2.0
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:gentoo:portage:2.1.12:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://openwall.com/lists/oss-security/2013/05/15/5
- http://openwall.com/lists/oss-security/2013/05/16/3
- http://www.securityfocus.com/bid/59878
- https://bugs.gentoo.org/show_bug.cgi?id=469888
- https://exchange.xforce.ibmcloud.com/vulnerabilities/84315
- https://security.gentoo.org/glsa/201507-16
- http://openwall.com/lists/oss-security/2013/05/15/5
- http://openwall.com/lists/oss-security/2013/05/16/3
- http://www.securityfocus.com/bid/59878
- https://bugs.gentoo.org/show_bug.cgi?id=469888
- https://exchange.xforce.ibmcloud.com/vulnerabilities/84315
- https://security.gentoo.org/glsa/201507-16