CVE-2024-45159 in mbed TLSinfo

Zusammenfassung

von VulDB • 11.06.2026

In Mbed TLS 3.x vor Version 3.6.1 wurde ein Problem entdeckt. Bei Verwendung von TLS 1.3 tritt auf, wenn der Server eine optionale Authentifizierung des Clients aktiviert und das vom Client bereitgestellte Zertifikat keine entsprechenden Werte in den Erweiterungen keyUsage oder extKeyUsage enthält, dass die Rückgabewerte von mbedtls_ssl_get_verify_result() fälschlicherweise so gesetzt sind, dass die Bits MBEDTLS_X509_BADCERT_KEY_USAGE nicht gelöscht (clear) sind. Infolgedessen kann ein Angreifer mit einem Zertifikat, das für andere Zwecke als TLS-Clientauthentifizierung gültig ist, dieses dennoch zur TLS-Clientauthentifizierung verwenden. Nur Server, die TLS 1.3 unterstützen und eine optionale Authentifizierung (bei erforderlicher Authentifizierung wird der Handshake mit einer fatalen Warnung abgebrochen) nutzen, waren betroffen.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

Zuständig

MITRE

Reservieren

22.08.2024

Veröffentlichung

05.09.2024

Moderieren

akzeptiert

Eintrag

VDB-276669

CPE

bereit

EPSS

0.00387

KEV

nein

Aktivitäten

very low

Quellen

Want to stay up to date on a daily basis?

Enable the mail alert feature now!