Vulnerabilidad en las entradas de CRL en la función tls_verify_crl en ProFTPD (CVE-2019-19270)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-295
Validación incorrecta de certificados
Fecha de publicación:
26/11/2019
Última modificación:
07/11/2023
Descripción
Se detectó un problema en la función tls_verify_crl en ProFTPD versiones hasta 1.3.6b. Un fallo en la comprobación del campo apropiado de una entrada de CRL (verificando dos veces por tema, en lugar de una vez por tema y una vez por emisor), impide tener en cuenta algunas CRL válidas y puede permitir que clientes cuyos certificados han sido revocados continúen con una conexión en el servidor.
Impacto
Puntuación base 3.x
7.50
Gravedad 3.x
ALTA
Puntuación base 2.0
5.00
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:proftpd:proftpd:*:*:*:*:*:*:*:* | 1.3.5 (incluyendo) | |
| cpe:2.3:a:proftpd:proftpd:1.3.6:-:*:*:*:*:*:* | ||
| cpe:2.3:a:proftpd:proftpd:1.3.6:alpha:*:*:*:*:*:* | ||
| cpe:2.3:a:proftpd:proftpd:1.3.6:beta:*:*:*:*:*:* | ||
| cpe:2.3:o:fedoraproject:fedora:30:*:*:*:*:*:*:* | ||
| cpe:2.3:o:fedoraproject:fedora:31:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://lists.opensuse.org/opensuse-security-announce/2020-01/msg00009.html
- https://github.com/proftpd/proftpd/issues/859
- https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/OGBBCPLJSDPFG5EI5P5G7P4KEX7YSD5G/
- https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/QR65XUHPCRU3NXTSFVF2J4GWRIHC7AHW/