Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en el nombre de host TLS SIN en osquery (CVE-2020-1887)

Gravedad CVSS v3.1:
CRÍTICA
Tipo:
CWE-295 Validación incorrecta de certificados
Fecha de publicación:
13/03/2020
Última modificación:
03/04/2020

Descripción

Una comprobación incorrecta del nombre de host TLS SNI en osquery versiones posteriores a 2.9.0 y anteriores a 4.2.0, podría permitir a un atacante un MITM en el tráfico de osquery en ausencia de una cadena root configurada de confianza.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:linuxfoundation:osquery:*:*:*:*:*:*:*:* 2.9.0 (excluyendo) 4.2.0 (excluyendo)