Vulnerabilidad en backend de GnuTLS en libcurl (CVE-2013-6422)
Gravedad CVSS v2.0:
MEDIA
Tipo:
CWE-20
Validación incorrecta de entrada
Fecha de publicación:
23/12/2013
Última modificación:
11/04/2025
Descripción
El backend de GnuTLS en libcurl 7.21.4 a 7.33.0, cuando se desactiva la verificación de firmas digitales (CURLOPT_SSL_VERIFYPEER), también desactiva la comprobación CURLOPT_SSL_VERIFYHOST para nombres de host CN o SAN, lo cual facilita a atacantes remotos la suplantación de servidores y la ejecución de ataques man-in-the-middle (MITM).
Impacto
Puntuación base 2.0
4.00
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:o:debian:debian_linux:7.0:*:*:*:*:*:*:* | ||
| cpe:2.3:o:canonical:ubuntu_linux:12.04:-:lts:*:*:*:*:* | ||
| cpe:2.3:o:canonical:ubuntu_linux:12.10:*:*:*:*:*:*:* | ||
| cpe:2.3:o:canonical:ubuntu_linux:13.04:*:*:*:*:*:*:* | ||
| cpe:2.3:o:canonical:ubuntu_linux:13.10:*:*:*:*:*:*:* | ||
| cpe:2.3:a:haxx:libcurl:7.21.4:*:*:*:*:*:*:* | ||
| cpe:2.3:a:haxx:libcurl:7.21.5:*:*:*:*:*:*:* | ||
| cpe:2.3:a:haxx:libcurl:7.21.6:*:*:*:*:*:*:* | ||
| cpe:2.3:a:haxx:libcurl:7.21.7:*:*:*:*:*:*:* | ||
| cpe:2.3:a:haxx:libcurl:7.22.0:*:*:*:*:*:*:* | ||
| cpe:2.3:a:haxx:libcurl:7.23.0:*:*:*:*:*:*:* | ||
| cpe:2.3:a:haxx:libcurl:7.23.1:*:*:*:*:*:*:* | ||
| cpe:2.3:a:haxx:libcurl:7.24.0:*:*:*:*:*:*:* | ||
| cpe:2.3:a:haxx:libcurl:7.25.0:*:*:*:*:*:*:* | ||
| cpe:2.3:a:haxx:libcurl:7.26.0:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://curl.haxx.se/docs/adv_20131217.html
- http://www.debian.org/security/2013/dsa-2824
- http://www.oracle.com/technetwork/topics/security/cpujul2015-2367936.html
- http://www.ubuntu.com/usn/USN-2058-1
- https://h20564.www2.hp.com/hpsc/doc/public/display?docId=emr_na-c04463322
- http://curl.haxx.se/docs/adv_20131217.html
- http://www.debian.org/security/2013/dsa-2824
- http://www.oracle.com/technetwork/topics/security/cpujul2015-2367936.html
- http://www.ubuntu.com/usn/USN-2058-1
- https://h20564.www2.hp.com/hpsc/doc/public/display?docId=emr_na-c04463322