Vulnerabilidad en el parámetro de verificación en la comprobación de certificados de peticiones de python en Dogtag PKI (CVE-2020-15720)

Gravedad CVSS v3.1:

MEDIA

Tipo:

CWE-295 Validación incorrecta de certificados

Fecha de publicación:

14/07/2020

Última modificación:

23/07/2020

Descripción

En Dogtag PKI versiones hasta 10.8.3, la clase pki.client.PKIConnection no habilitó la comprobación de certificados de peticiones de python. Como el parámetro de verificación estaba embebido en todas las funciones de petición, no fue posible anular la configuración. Como resultado, las herramientas que utilizan esta clase, tal y como el comando pki-server, pueden haber sido vulnerables a ataques de tipo Person-in-the-Middle en determinados casos de uso de un no localhost. Esto es corregido en la versión 10.9.0-b1

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 6.80 MEDIA
Vector: CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Alto
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Obligatorio
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Ninguno

Puntuación base 3.x

6.80

Gravedad 3.x

MEDIA

Vector 2.0

AV:N/AC:H/Au:N/C:P/I:P/A:N CVSS v2.0 Severidad y Métricas:

Puntuación base: 4.00 MEDIA
Vector: AV:N/AC:H/Au:N/C:P/I:P/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Alto
Autenticación (Au): Ninguno
Impacto a la confidencialidad (C): Físico
Impacto a la integridad (I): Físico
Impacto a la disponibilidad (A): Ninguno