Vulnerabilidad en una cadena de certificados X.509 en la aplicación ssl en Erlang/OTP (CVE-2020-35733)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-295
Validación incorrecta de certificados
Fecha de publicación:
15/01/2021
Última modificación:
07/11/2023
Descripción
Se detectó un problema en Erlang/OTP versiones anteriores a 23.2.2. La aplicación ssl versión 10.2, acepta y confía en una cadena de certificados X.509 no válida para una Autoridad de Certificación root confiable
Impacto
Puntuación base 3.x
7.50
Gravedad 3.x
ALTA
Puntuación base 2.0
5.00
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
CPE | Desde | Hasta |
---|---|---|
cpe:2.3:a:erlang:erlang\/otp:*:*:*:*:*:*:*:* | 23.2.2 (excluyendo) | |
cpe:2.3:o:fedoraproject:fedora:33:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://erlang.org/pipermail/erlang-questions/2021-January/100357.html
- https://github.com/erlang/otp/releases
- https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/E4CXZWUOZELT7A5ZN6DJRQHX7L35V4PW/
- https://www.erlang.org/downloads
- https://www.erlang.org/news