Vulnerabilidad en Apache Qpid Proton-J (CVE-2018-17187)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-295
Validación incorrecta de certificados
Fecha de publicación:
13/11/2018
Última modificación:
31/01/2019
Descripción
El transporte de Apache Qpid Proton-J incluye una capa wrapper opcional para realizar TLS, habilitado por el uso de los métodos "transport.ssl(...)". A menos que hubiese un modo de verificación explícito, los modos cliente y servidor se consideraban por defecto como documentados para así no verificar el certificado peer, con opciones para configurar esto de forma explícita o seleccionar un modo de verificación de certificado con o sin un proceso de verificación de nombres de host. Este último modo de verificación de nombres de host no se implementó en Apache Qpid Proton-J, de la versión 0.3 a la 0.29.0; los intentos para emplearlo resultaron en una excepción. Esto solo dejó una opción para verificar que se confía en el certificado, dejando que el cliente sea vulnerable a un ataque Man-in-the-Middle (MitM). Los usos del motor del protocolo Proton-J que no emplean el wrapper opcional de transporte TLS no se han visto impactados (p. ej., su uso en Qpid JMS). Los usos de Proton-J que empleen la capa wrapper opcional de transporte TLS que deseen habilitar la verificación de nombres de host deben actualizarse a la versión 0.30.0 o posteriores y emplear la configuración VerifyMode#VERIFY_PEER_NAME, que ahora es la predeterminada para el uso del modo cliente a no ser que se configure de otra forma.
Impacto
Puntuación base 3.x
7.40
Gravedad 3.x
ALTA
Puntuación base 2.0
5.80
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:apache:qpid_proton-j:*:*:*:*:*:*:*:* | 0.3 (incluyendo) | 0.29.0 (incluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página