Vulnerabilidad en mod-gnutls (CVE-2015-2091)
Gravedad CVSS v2.0:
MEDIA
Tipo:
CWE-310
Errores criptográficos
Fecha de publicación:
13/03/2015
Última modificación:
12/04/2025
Descripción
La autenticación hook (mgs_hook_authz) en mod-gnutls 0.5.10 y anteriores no valida el certificado cliente cuando se establece 'GnuTLSClientVerify requerido', lo que permite a atacantes remotos suplantar clientes a través de certificados modificados.
Impacto
Puntuación base 2.0
5.00
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:apache:mod-gnutls:*:*:*:*:*:*:*:* | 0.5.1 (incluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://issues.outoforder.cc/view.php?id=93
- http://www.debian.org/security/2015/dsa-3177
- https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=578663
- https://security.gentoo.org/glsa/201709-04
- http://issues.outoforder.cc/view.php?id=93
- http://www.debian.org/security/2015/dsa-3177
- https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=578663
- https://security.gentoo.org/glsa/201709-04