Vulnerabilidad en el campo proxy_addr en GSocketClient en GNOME Glib (CVE-2020-6750)
Gravedad CVSS v3.1:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
09/01/2020
Última modificación:
07/11/2023
Descripción
GSocketClient en GNOME GLib versiones hasta 2.62.4, ocasionalmente puede conectarse directamente a una dirección de destino en lugar de conectarse por medio de un servidor proxy cuando se configuró para hacerlo, porque el campo proxy_addr es manejado inapropiadamente. Este error depende de la sincronización y puede ocurrir solo esporádicamente dependiendo de los retrasos de la red. La mayor relevancia de seguridad se encuentra en los casos de uso donde es utilizado un proxy para ayudar con la privacidad y el anonimato, aunque no existe una barrera técnica para una conexión directa. NOTA: las versiones anteriores a 2.60 no están afectadas.
Impacto
Puntuación base 3.x
5.90
Gravedad 3.x
MEDIA
Puntuación base 2.0
4.30
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:gnome:glib:*:*:*:*:*:*:*:* | 2.60.0 (incluyendo) | 2.62.4 (incluyendo) |
| cpe:2.3:o:fedoraproject:fedora:30:*:*:*:*:*:*:* | ||
| cpe:2.3:o:fedoraproject:fedora:31:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://bugzilla.suse.com/show_bug.cgi?id=1160668
- https://gitlab.gnome.org/GNOME/glib/issues/1989
- https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/5RIFEDSRJ4P3WFCMDUOFQ2LEILZLMDW7/
- https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/KJMLGW55HOQXHMTIPH2PWXFRBNBWVO4W/
- https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/MEM7MMAXMWCDPUH4MTUZ763MBB64RRLJ/
- https://security.netapp.com/advisory/ntap-20200127-0001/