CVE-2020-24613

DEB

Средний

wolfSSL до версии 4.5.0 неправильно обрабатывает данные сервера TLS 1.3 в состоянии WAIT_CERT_CR, в SanityCheckTls13MsgReceived() в tls13.c…

CVSS

6.8

Средний

EPSS

0.01

p53

Опубликовано

2020-01-01

Обновлено

2020-01-01

Описание

wolfSSL до версии 4.5.0 неправильно обрабатывает данные сервера TLS 1.3 в состоянии WAIT_CERT_CR, в SanityCheckTls13MsgReceived() в tls13.c. Это неправильная реализация конечного автомата клиента TLS 1.3. Это позволяет злоумышленникам, находящимся в привилегированном положении в сети, полностью выдавать себя за любые серверы TLS 1.3 и читать или изменять потенциально конфиденциальную информацию между клиентами, использующими библиотеку wolfSSL, и этими серверами TLS.

Теги · CWE

CWE-295

CAPEC-459

CAPEC-475

Затронутые продукты

Wolfssl < 4.5.0

Вектор CVSS

CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:N

Хронология

2020-01-01

Опубликована

2020-01-01

Обновлена

Разбор CVSS 3.1

Вектор атаки

AV: N

Сеть (N)

Сложность атаки

AC: H

Высокая (H)

Требуемые привилегии

PR: L

Низкие (L)

Взаимодействие с пользователем

UI: N

Отсутствует (N)

Область воздействия

S: U

Неизменная (U)

Воздействие на конфиденциальность

C: H

Высокое (H)

Воздействие на целостность

I: H

Высокое (H)

Воздействие на доступность

A: N

Отсутствует (N)

Индикаторы эксплуатации

EPSS

0.009 · p53

Известна эксплуатация (KEV)

Нет

Проверки Сканер-ВС

Проверок Сканер-ВС для этой уязвимости в базе пока нет.

Затронутые продукты

Продукт	Вендор	Статус
wolfssl		Отслеживается
wolfssl		Отслеживается
wolfssl		Отслеживается
wolfssl		Отслеживается
wolfssl		Отслеживается
wolfssl		Отслеживается
wolfssl		Отслеживается
wolfssl		Отслеживается
wolfssl		Отслеживается
wolfssl		Отслеживается
wolfssl		Отслеживается
wolfssl		Отслеживается
wolfssl		Отслеживается
wolfssl		Отслеживается
wolfssl		Отслеживается
wolfssl		Отслеживается
wolfssl	*	Отслеживается

Источники данных

DEB

CVE

UBU