CVE-2024-45159 in mbed TLSinformazioni

Riassunto

di VulDB • 20/06/2026

È stato rilevato un problema in Mbed TLS 3.x prima della versione 3.6.1. Con TLS 1.3, quando un server abilita l'autenticazione facoltativa del client, se il certificato fornito dal client non contiene valori appropriati nelle estensioni keyUsage o extKeyUsage, il valore restituito da mbedtls_ssl_get_verify_result() avrebbe erroneamente i bit MBEDTLS_X509_BADCERT_KEY_USAGE e MBEDTLS_X509_BADCERT_KEY_USAGE disattivati. Di conseguenza, un attaccante in possesso di un certificato valido per utilizzi diversi dall'autenticazione client TLS sarebbe comunque riuscito a utilizzarlo per l'autenticazione client TLS. Solo i server che supportano TLS 1.3 sono stati interessati e solo nel caso di autenticazione facoltativa (con autenticazione obbligatoria, la handshake verrebbe interrotta con un alert fatale).

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

Responsabile

MITRE

Prenotare

22/08/2024

Divulgazione

05/09/2024

Moderazione

accettato

CPE

pronto

EPSS

0.00387

KEV

no

Attività

molto basso

Fonti

Do you need the next level of professionalism?

Upgrade your account now!