Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

redhat логотип

CVE-2010-4334

Опубликовано: 06 дек. 2010
Источник: redhat
CVSS2: 4
EPSS Низкий

Уязвимость обхода ограничений сертификатов в модуле IO::Socket::SSL для Perl, вызванная некорректной обработкой параметра "verify_mode"

Описание

Обнаружена уязвимость в модуле IO::Socket::SSL версии 1.35 для Perl. Когда параметр verify_mode не установлен в значение VERIFY_NONE, модуль вместо выброса ошибки переходит в режим VERIFY_NONE, если файл или путь сертификата (ca_file/ca_path) не может быть проверен. Это позволяет удалённым злоумышленникам обойти предполагаемые ограничения сертификатов.

Заявление

Данная проблема не затрагивает версию модуля perl-IO-Socket-SSL, поставляемую с Red Hat Enterprise Linux 5. Служба безопасности Red Hat оценила эту проблему как имеющую низкое влияние на безопасность. В настоящее время не планируется устранение данной уязвимости в будущих обновлениях. Для получения дополнительной информации обратитесь к классификации серьёзности проблем.

Затронутые версии ПО

  • IO::Socket::SSL версия 1.35

Тип уязвимости

Обход проверки сертификатов

Затронутые пакеты

ПлатформаПакетСостояниеРекомендацияРелиз
Red Hat Enterprise Linux 5perl-IO-Socket-SSLNot affected
Red Hat Enterprise Linux 6perl-IO-Socket-SSLWill not fix

Показывать по

Ссылки на источники

Дополнительная информация

Статус:

Low
https://bugzilla.redhat.com/show_bug.cgi?id=660847perl-IO-Socket-SSL: ignores user request for peer verification

EPSS

Процентиль: 68%
0.00564
Низкий

4 Medium

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2010-4334

ubuntu
около 15 лет назад

The IO::Socket::SSL module 1.35 for Perl, when verify_mode is not VERIFY_NONE, fails open to VERIFY_NONE instead of throwing an error when a ca_file/ca_path cannot be verified, which allows remote attackers to bypass intended certificate restrictions.

nvd логотип

CVE-2010-4334

nvd
около 15 лет назад

The IO::Socket::SSL module 1.35 for Perl, when verify_mode is not VERIFY_NONE, fails open to VERIFY_NONE instead of throwing an error when a ca_file/ca_path cannot be verified, which allows remote attackers to bypass intended certificate restrictions.

debian логотип

CVE-2010-4334

debian
около 15 лет назад

The IO::Socket::SSL module 1.35 for Perl, when verify_mode is not VERI ...

github логотип

GHSA-rgc7-283p-45vh

github
больше 3 лет назад

The IO::Socket::SSL module 1.35 for Perl, when verify_mode is not VERIFY_NONE, fails open to VERIFY_NONE instead of throwing an error when a ca_file/ca_path cannot be verified, which allows remote attackers to bypass intended certificate restrictions.

EPSS

Процентиль: 68%
0.00564
Низкий

4 Medium

CVSS2

Уязвимость CVE-2010-4334