Vulnerabilidad en Certificate.Verify (CVE-2024-24783)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-476
Desreferencia a puntero nulo (NULL)
Fecha de publicación:
05/03/2024
Última modificación:
15/04/2026
Descripción
La verificación de una cadena de certificados que contiene un certificado con un algoritmo de clave pública desconocido provocará que Certificate.Verify entre en pánico. Esto afecta a todos los clientes cripto/tls y a los servidores que configuran Config.ClientAuth en VerifyClientCertIfGiven o RequireAndVerifyClientCert. El comportamiento predeterminado es que los servidores TLS no verifiquen los certificados de los clientes.
Impacto
Puntuación base 3.x
5.90
Gravedad 3.x
MEDIA
Referencias a soluciones, herramientas e información
- http://www.openwall.com/lists/oss-security/2024/03/08/4
- https://go.dev/cl/569339
- https://go.dev/issue/65390
- https://groups.google.com/g/golang-announce/c/5pwGVUPoMbg
- https://pkg.go.dev/vuln/GO-2024-2598
- https://security.netapp.com/advisory/ntap-20240329-0005/
- http://www.openwall.com/lists/oss-security/2024/03/08/4
- https://go.dev/cl/569339
- https://go.dev/issue/65390
- https://groups.google.com/g/golang-announce/c/5pwGVUPoMbg
- https://pkg.go.dev/vuln/GO-2024-2598
- https://security.netapp.com/advisory/ntap-20240329-0005/