Vulnerabilidad en el nombre de host TLS SIN en osquery (CVE-2020-1887)
Gravedad CVSS v3.1:
CRÍTICA
Tipo:
CWE-295
Validación incorrecta de certificados
Fecha de publicación:
13/03/2020
Última modificación:
03/04/2020
Descripción
Una comprobación incorrecta del nombre de host TLS SNI en osquery versiones posteriores a 2.9.0 y anteriores a 4.2.0, podría permitir a un atacante un MITM en el tráfico de osquery en ausencia de una cadena root configurada de confianza.
Impacto
Puntuación base 3.x
9.10
Gravedad 3.x
CRÍTICA
Puntuación base 2.0
5.80
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
CPE | Desde | Hasta |
---|---|---|
cpe:2.3:a:linuxfoundation:osquery:*:*:*:*:*:*:*:* | 2.9.0 (excluyendo) | 4.2.0 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página