CVE

Vulnerabilidad en wolfSSL (CVE-2024-5991)

Severidad:

Pendiente de análisis

Type:

CWE-125 Lectura fuera de límites

Fecha de publicación:

27/08/2024

Última modificación:

28/08/2024

Descripción

En la función MatchDomainName(), el parámetro de entrada str se trata como una cadena terminada en NULL a pesar de haber sido proporcionado por el usuario y no estar marcado. Específicamente, la función X509_check_host() toma un puntero y una longitud para verificar, sin requisitos de que termine en NULL. Si una persona que llama intentaba realizar una verificación de nombre en un búfer terminado en NULL, el código se leía más allá de los límites de la matriz de entrada hasta encontrar un terminador NULL. Este problema afecta a wolfSSL: hasta 5.7.0.

Referencias a soluciones, herramientas e información

https://https://github.com/wolfSSL/wolfssl/pull/7604