CVE-2009-3490

Опубликовано: 30 сент. 2009

Источник: nvd

CVSS2: 6.8

EPSS Низкий

Уязвимость подмены SSL-серверов через манипуляцию X.509 сертификатами в GNU Wget до версии 1.12

Описание

В версиях GNU Wget до 1.12 некорректно обрабатывается символ \0 в имени домена, указанном в поле Common Name X.509 сертификата. Это позволяет злоумышленнику, используя атаку "человек посередине" (MiTM), подменить SSL-серверы с помощью поддельного сертификата, выданного легитимным центром сертификации.

Затронутые версии ПО

GNU Wget версии до 1.12

Тип уязвимости

Подмена (спуфинг) SSL-серверов

Ссылки

Уязвимые конфигурации

Конфигурация 1

Одно из

cpe:2.3:a:gnu:wget:*:*:*:*:*:*:*:*

Версия до 1.11.4 (включая)

cpe:2.3:a:gnu:wget:1.5.3:*:*:*:*:*:*:*

cpe:2.3:a:gnu:wget:1.6:*:*:*:*:*:*:*

cpe:2.3:a:gnu:wget:1.7:*:*:*:*:*:*:*

cpe:2.3:a:gnu:wget:1.7.1:*:*:*:*:*:*:*

cpe:2.3:a:gnu:wget:1.8:*:*:*:*:*:*:*

cpe:2.3:a:gnu:wget:1.8.1:*:*:*:*:*:*:*

cpe:2.3:a:gnu:wget:1.9:*:*:*:*:*:*:*

cpe:2.3:a:gnu:wget:1.9.1:*:*:*:*:*:*:*

cpe:2.3:a:gnu:wget:1.10:*:*:*:*:*:*:*

cpe:2.3:a:gnu:wget:1.10.1:*:*:*:*:*:*:*

cpe:2.3:a:gnu:wget:1.10.2:*:*:*:*:*:*:*

cpe:2.3:a:gnu:wget:1.11:*:*:*:*:*:*:*

cpe:2.3:a:gnu:wget:1.11.1:*:*:*:*:*:*:*

cpe:2.3:a:gnu:wget:1.11.2:*:*:*:*:*:*:*

cpe:2.3:a:gnu:wget:1.11.3:*:*:*:*:*:*:*

EPSS

Процентиль: 81%

0.01601

Низкий

6.8 Medium

CVSS2

Дефекты

CWE-310

Связанные уязвимости

CVE-2009-3490

ubuntu

больше 15 лет назад

GNU Wget before 1.12 does not properly handle a '\0' character in a domain name in the Common Name field of an X.509 certificate, which allows man-in-the-middle remote attackers to spoof arbitrary SSL servers via a crafted certificate issued by a legitimate Certification Authority, a related issue to CVE-2009-2408.