不正确的TLS证书验证(CVE-2019-3841)

漏洞描述

据报道,Kubevirt / virt-cdi-importer,版本1.4.0到1.5.3,在从容器注册表导入PVC时禁用TLS证书验证。这可以实现容器注册表和virt-cdi-component之间的中间人攻击,从而可a S 9能导致未被检测到的对可信容器图像内容的篡改。

不正确的TLS证书验证(CVE-2019-3841)

基本信息

CVE编号: CVE-2019-3841

漏洞类型: 未知

危险等M e 8 k 2 _级: 高危

披露时R } G F L @ N间: 2019-03-25

cvss3评分:6.8

cvss3因子:CVSS:3.0/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:N

修复建议

参考链接

https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2019-V E 6 V L E3841

hj ) X ] B M T h ]ttps://github.com/kubevirt/containerized-data-importer/issues/678