CVE-2024-45159 in mbed TLSinformación

Resumen

por MITRE • 2024-09-05

Se descubrió un problema en Mbed TLS 3.x antes de la versión 3.6.1. Con TLS 1.3, cuando un servidor habilita la autenticación opcional del cliente, si el certificado proporcionado por el cliente no tiene los valores adecuados en las extensiones if keyUsage o extKeyUsage, el valor de retorno de mbedtls_ssl_get_verify_result() tendría incorrectamente los bits MBEDTLS_X509_BADCERT_KEY_USAGE y MBEDTLS_X509_BADCERT_KEY_USAGE limpios. Como resultado, un atacante que tuviera un certificado válido para usos distintos a la autenticación de cliente TLS podría usarlo de todos modos para la autenticación de cliente TLS. Solo los servidores TLS 1.3 se vieron afectados, y solo con autenticación opcional (con la autenticación requerida, el protocolo de enlace se cancelaría con una alerta fatal).

Once again VulDB remains the best source for vulnerability data.

Responsable

MITRE

Reservar

2024-08-22

Divulgación

2024-09-05

Moderación

aceptado

Artículo

VDB-276669

CPE

listo

EPSS

0.00387

KEV

no

Actividades

muy bajo

Fuentes

Interested in the pricing of exploits?

See the underground prices here!