Vulnerabilidad en la capa Serf RA en Apache Subversion (CVE-2014-3522)
Gravedad CVSS v2.0:
MEDIA
Tipo:
CWE-297
Validación incorrecta de certificados con host no coincidente
Fecha de publicación:
19/08/2014
Última modificación:
12/04/2025
Descripción
La capa Serf RA en Apache Subversion 1.4.0 hasta 1.7.x anterior a 1.7.18 y 1.8.x anterior a 1.8.10 no maneja debidamente los comodines (wildcards) en el campo Common Name (CN) o subjectAltName de un certificado X.509, lo que permite a atacantes man-in-the-middle falsificar servidores a través de un certificado manipulado.
Impacto
Puntuación base 2.0
4.00
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:apache:subversion:1.4.0:*:*:*:*:*:*:* | ||
| cpe:2.3:a:apache:subversion:1.4.1:*:*:*:*:*:*:* | ||
| cpe:2.3:a:apache:subversion:1.4.2:*:*:*:*:*:*:* | ||
| cpe:2.3:a:apache:subversion:1.4.3:*:*:*:*:*:*:* | ||
| cpe:2.3:a:apache:subversion:1.4.4:*:*:*:*:*:*:* | ||
| cpe:2.3:a:apache:subversion:1.4.5:*:*:*:*:*:*:* | ||
| cpe:2.3:a:apache:subversion:1.4.6:*:*:*:*:*:*:* | ||
| cpe:2.3:a:apache:subversion:1.5.0:*:*:*:*:*:*:* | ||
| cpe:2.3:a:apache:subversion:1.5.1:*:*:*:*:*:*:* | ||
| cpe:2.3:a:apache:subversion:1.5.2:*:*:*:*:*:*:* | ||
| cpe:2.3:a:apache:subversion:1.5.3:*:*:*:*:*:*:* | ||
| cpe:2.3:a:apache:subversion:1.5.4:*:*:*:*:*:*:* | ||
| cpe:2.3:a:apache:subversion:1.5.5:*:*:*:*:*:*:* | ||
| cpe:2.3:a:apache:subversion:1.5.6:*:*:*:*:*:*:* | ||
| cpe:2.3:a:apache:subversion:1.5.7:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://lists.apple.com/archives/security-announce/2015/Mar/msg00003.html
- http://lists.opensuse.org/opensuse-updates/2014-08/msg00038.html
- http://secunia.com/advisories/59432
- http://secunia.com/advisories/59584
- http://secunia.com/advisories/60100
- http://secunia.com/advisories/60722
- http://www.oracle.com/technetwork/topics/security/bulletinoct2015-2511968.html
- http://www.osvdb.org/109996
- http://www.securityfocus.com/bid/69237
- http://www.ubuntu.com/usn/USN-2316-1
- https://exchange.xforce.ibmcloud.com/vulnerabilities/95090
- https://exchange.xforce.ibmcloud.com/vulnerabilities/95311
- https://security.gentoo.org/glsa/201610-05
- https://subversion.apache.org/security/CVE-2014-3522-advisory.txt
- https://support.apple.com/HT204427
- http://lists.apple.com/archives/security-announce/2015/Mar/msg00003.html
- http://lists.opensuse.org/opensuse-updates/2014-08/msg00038.html
- http://secunia.com/advisories/59432
- http://secunia.com/advisories/59584
- http://secunia.com/advisories/60100
- http://secunia.com/advisories/60722
- http://www.oracle.com/technetwork/topics/security/bulletinoct2015-2511968.html
- http://www.osvdb.org/109996
- http://www.securityfocus.com/bid/69237
- http://www.ubuntu.com/usn/USN-2316-1
- https://exchange.xforce.ibmcloud.com/vulnerabilities/95090
- https://exchange.xforce.ibmcloud.com/vulnerabilities/95311
- https://security.gentoo.org/glsa/201610-05
- https://subversion.apache.org/security/CVE-2014-3522-advisory.txt
- https://support.apple.com/HT204427