Vulnerabilidad en el método Poco::Net::X509Certificate::verify en POCO C++ Libraries (CVE-2014-0350)
Gravedad CVSS v2.0:
MEDIA
Tipo:
CWE-310
Errores criptográficos
Fecha de publicación:
26/04/2014
Última modificación:
12/04/2025
Descripción
El método Poco::Net::X509Certificate::verify en la libraría NetSSL en POCO C++ Libraries anterior a 1.4.6p4 permite a atacantes man-in-the-middle falsificar servidores SSL a través de registros DNS PTR manipulados que se solicitan durante comparación de un nombre de servidor hacia un nombre de dominio de comodín en un certificado X.509.
Impacto
Puntuación base 2.0
6.40
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:pocoproject:poco_c\+\+_libraries:*:p3:*:*:*:*:*:* | 1.4.6 (incluyendo) | |
| cpe:2.3:a:pocoproject:poco_c\+\+_libraries:1.4.5:*:*:*:*:*:*:* | ||
| cpe:2.3:a:pocoproject:poco_c\+\+_libraries:1.4.6:-:*:*:*:*:*:* | ||
| cpe:2.3:a:pocoproject:poco_c\+\+_libraries:1.4.6:p1:*:*:*:*:*:* | ||
| cpe:2.3:a:pocoproject:poco_c\+\+_libraries:1.4.6:p2:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://lists.fedoraproject.org/pipermail/package-announce/2016-February/177471.html
- http://lists.fedoraproject.org/pipermail/package-announce/2016-February/177573.html
- http://www.kb.cert.org/vuls/id/118748
- https://raw.githubusercontent.com/pocoproject/poco/poco-1.4.6p4-release/CHANGELOG
- http://lists.fedoraproject.org/pipermail/package-announce/2016-February/177471.html
- http://lists.fedoraproject.org/pipermail/package-announce/2016-February/177573.html
- http://www.kb.cert.org/vuls/id/118748
- https://raw.githubusercontent.com/pocoproject/poco/poco-1.4.6p4-release/CHANGELOG