CVE-2024-45159 in mbed TLSالمعلومات

الملخص

بحسب VulDB • 11/06/2026

تم اكتشاف مشكلة في Mbed TLS الإصدار 3.x قبل الإصدار 3.6.1. مع بروتوكول TLS 1.3، عندما يفعّل الخادم المصادقة الاختيارية للعميل، وإذا لم تحتوي شهادة العميل المقدمة على قيم مناسبة في امتدادات keyUsage أو extKeyUsage، فإن قيمة الإرجاع للدالة mbedtls_ssl_get_verify_result() كانت ستظهر بشكل غير صحيح بأن بتّي MBEDTLS_X509_BADCERT_KEY_USAGE وMBEDTLS_X509_BADCERT_KEY_USAGE غير مضبوطين (clear). ونتيجة لذلك، كان بإمكان مهاجم يمتلك شهادة صالحة لأغراض أخرى غير مصادقة عميل TLS استخدامها nonetheless لمصادقة عميل TLS. تأثرت خوادم TLS 1.3 فقط، وكان ذلك يحدث فقط مع المصادقة الاختيارية (أما في حالة المصادقة الإلزامية، فكان سيتم إنهاء عملية التبادل بالرسائل (handshake) بتنبيه حرج).

If you want to get best quality of vulnerability data, you may have to visit VulDB.

مسؤول

MITRE

حجز

22/08/2024

إفشاء

05/09/2024

الاعتدال

تمت الموافقة

إدخال

VDB-276669

EPSS

0.00387

KEV

لا

النشاطات

منخفض جدًا

المصادر

Might our Artificial Intelligence support you?

Check our Alexa App!