[logback-user] Ambiguous vulnerability assessment help
Angelo Rauseo
angelo.rauseo at workday.com
Fri Aug 27 18:31:20 CEST 2021
Hello everyone,
I am looking for details about a vulnerability listed in JFrog X-Ray (see below) that does not have much data attached to it in the report (no CVE, no links to analysis). My end goal would be to eventually help resolve it, but I have no data about the source to start from.
Anyone here that can help me assess it?
Thank you for your time and assistance!
Angelo
┌─────────────────────┬────────────────────────────────────────────────────────────────────────────────────────────────────┐
│ Summary │ logback SSL Certificate Validation Failure MitM Spoofing │
├─────────────────────┼────────────────────────────────────────────────────────────────────────────────────────────────────┤
│ Severity │ MEDIUM │
├─────────────────────┼────────────────────────────────────────────────────────────────────────────────────────────────────┤
│ Description │ logback contains a flaw as X.509 certificates are not properly validated. By spoofing the TLS/SSL │
│ │ server via a certificate that appears valid, an attacker with the ability to intercept network │
│ │ traffic (e.g. MitM, DNS cache poisoning) can disclose and optionally manipulate transmitted data. │
├─────────────────────┼────────────────────────────────────────────────────────────────────────────────────────────────────┤
│ Type │ SECURITY │
├─────────────────────┼────────────────────────────────────────────────────────────────────────────────────────────────────┤
│ Provider │ JFrog │
├─────────────────────┼────────────────────────────────────────────────────────────────────────────────────────────────────┤
│ Issues │ 4.0/CVSS:2.0/AV:N/AC:H/Au:N/C:P/I:P/A:N │
├─────────────────────┼────────────────────────────────────────────────────────────────────────────────────────────────────┤
│ Edited │ 2021-04-15T09:22:04Z │
├─────────────────────┼────────────────────────────────────────────────────────────────────────────────────────────────────┤
│ Created │ 2019-05-02T00:00:00.297Z │
├─────────────────────┼────────────────────────────────────────────────────────────────────────────────────────────────────┤
│ Impact paths │ - │
│ │ /sha256__11533f8a115abc3bbf6840bebe91a8616a0ee04cd4bdad4094ed62e6f86d4432.tar.gz/usr/share/fugu/li │
│ │ b/ch.qos.logback-logback-core-1.2.3.jar │
├─────────────────────┼────────────────────────────────────────────────────────────────────────────────────────────────────┤
│ │ Affected component ID: gav://ch.qos.logback:logback-core:1.2.3 │
├─────────────────────┼────────────────────────────────────────────────────────────────────────────────────────────────────┤
│ Vulnerable versions │ 1.0.12 ≤ Version ≤ 1.3.0-alpha5 │
├─────────────────────┼────────────────────────────────────────────────────────────────────────────────────────────────────┤
│ Fixed versions │ │
└─────────────────────┴────────────────────────────────────────────────────────────────────────────────────────────────────┘
-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://mailman.qos.ch/pipermail/logback-user/attachments/20210827/43286e00/attachment-0001.html>
More information about the logback-user
mailing list