Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

redhat логотип

CVE-2013-7449

Опубликовано: 19 нояб. 2014
Источник: redhat
CVSS2: 4.3
EPSS Низкий

Уязвимость отсутствия проверки соответствия имени сервера доменному имени в сертификате X.509 в функции "ssl_do_connect" из файла "common/server.c" в HexChat, XChat и XChat-GNOME, позволяющая проводить атаки типа "человек посередине"

Описание

Обнаружена уязвимость в функции ssl_do_connect из файла common/server.c в HexChat, XChat и XChat-GNOME. Проблема заключается в том, что функция не проверяет соответствие имени сервера доменному имени в сертификате X.509. Это позволяет злоумышленникам, выполняющим атаку типа "человек посередине" (man-in-the-middle), подменять SSL-серверы с использованием любого действительного сертификата.

Затронутые версии ПО

  • HexChat до версии 2.10.2
  • XChat
  • XChat-GNOME

Тип уязвимости

  • Подмена SSL-сервера
  • Атака типа "человек посередине" (man-in-the-middle)

Затронутые пакеты

ПлатформаПакетСостояниеРекомендацияРелиз
Red Hat Enterprise Linux 5xchatWill not fix
Red Hat Enterprise Linux 6xchatWill not fix
Red Hat Enterprise Linux 7xchatWill not fix

Показывать по

Ссылки на источники

Дополнительная информация

Статус:

Moderate
Дефект:
CWE-297
https://bugzilla.redhat.com/show_bug.cgi?id=1081839xchat/hexchat: does not verify the server hostname matches the domain name in the subject's Common Name (CN) or subjectAltName field in X.509 certificates

EPSS

Процентиль: 36%
0.00149
Низкий

4.3 Medium

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2013-7449

CVSS3: 6.5
ubuntu
почти 10 лет назад

The ssl_do_connect function in common/server.c in HexChat before 2.10.2, XChat, and XChat-GNOME does not verify that the server hostname matches a domain name in the X.509 certificate, which allows man-in-the-middle attackers to spoof SSL servers via an arbitrary valid certificate.

nvd логотип

CVE-2013-7449

CVSS3: 6.5
nvd
почти 10 лет назад

The ssl_do_connect function in common/server.c in HexChat before 2.10.2, XChat, and XChat-GNOME does not verify that the server hostname matches a domain name in the X.509 certificate, which allows man-in-the-middle attackers to spoof SSL servers via an arbitrary valid certificate.

debian логотип

CVE-2013-7449

CVSS3: 6.5
debian
почти 10 лет назад

The ssl_do_connect function in common/server.c in HexChat before 2.10. ...

github логотип

GHSA-vcmj-h4g7-8fpr

CVSS3: 6.5
github
больше 3 лет назад

The ssl_do_connect function in common/server.c in HexChat before 2.10.2, XChat, and XChat-GNOME does not verify that the server hostname matches a domain name in the X.509 certificate, which allows man-in-the-middle attackers to spoof SSL servers via an arbitrary valid certificate.

EPSS

Процентиль: 36%
0.00149
Низкий

4.3 Medium

CVSS2