Confira !!
Os pacotes atualizados corrigem uma vulnerabilidade de segurança: No GNOME glib-networking até 2.64.2, a implementação de GTlsClientConnection ignora a verificação do nome do host do certificado TLS do servidor se o aplicativo falhar em especificar o esperado
MGASA-2020-0314 - Pacotes de rede glib atualizados corrigem vulnerabilidade de segurança
Data de publicação: 16 de agosto de 2020
URL: https://advisories.mageia.org/MGASA-2020-0314.html
Tipo: segurança
Lançamentos afetados da Mageia: 7
CVE: CVE-2020-13645
Os pacotes atualizados corrigem uma vulnerabilidade de segurança:
No GNOME glib-networking até 2.64.2, a implementação de
GTlsClientConnection ignora a verificação do nome do host do servidor
Certificado TLS se o aplicativo falhar em especificar o esperado
identidade do servidor. Isto está em contraste com o pretendido documentado
comportamento, para falhar na verificação do certificado. Aplicativos que
não fornecer a identidade do servidor, incluindo Balsa antes de 2.5.11
e 2.6.x antes de 2.6.1, aceite um certificado TLS se o certificado
é válido para qualquer host. (CVE-2020-13645)
Referências:
- https://bugs.mageia.org/show_bug.cgi?id=26819
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-13645
- https://lists.fedoraproject.org/archives/list/ package-announce@lists.fedoraproject.org / thread / TQEQJQ4XFMFCFJTEXKL2ZO3UELBPCKSK /
- https://ubuntu.com/security/notices/USN-4405-1
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-13645
SRPMS:
- 7 / core / glib-networking-2.60.2-1.1.mga7
Fonte
Até a próxima !!
Nenhum comentário:
Postar um comentário