← voltar
CVE-2024-39689

Certifi removes GLOBALTRUST root certificate

CVSS 7.5 HIGHEPSS 1.0%CWE-345
Em resumo

O Certifi, uma biblioteca que armazena certificados raiz confiáveis para validar conexões SSL, removeu certificados da GLOBALTRUST devido a problemas de conformidade. Isso impede que sites usando certificados GLOBALTRUST sejam confiados por aplicações que usam a versão atualizada do Certifi.

Detalhe técnico

O Certifi nas versões 2021.5.30 até 2024.7.3 aceitava certificados raiz da GLOBALTRUST para verificação de hosts TLS. A versão 2024.7.4 removeu esses certificados do repositório de confiança seguindo a ação da Mozilla e investigações que identificaram não-conformidade. Aplicações dependentes de versões antigas do Certifi ou que confiam em certificados GLOBALTRUST enfrentarão falhas na validação de certificados.

Resumo gerado e traduzido por IA a partir da descrição oficial.
Certifi is a curated collection of Root Certificates for validating the trustworthiness of SSL certificates while verifying the identity of TLS hosts. Certifi starting in 2021.5.30 and prior to 2024.7.4 recognized root certificates from `GLOBALTRUST`. Certifi 2024.7.04 removes root certificates from `GLOBALTRUST` from the root store. These are in the process of being removed from Mozilla's trust store. `GLOBALTRUST`'s root certificates are being removed pursuant to an investigation which identified "long-running and unresolved compliance issues."
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N
Produtos afetados
certifi · python-certifi

Quer saber se a sua infraestrutura está exposta a isto?

Falar com a TrueHacking →
Referências
https://github.com/certifi/python-certifi/commit/bd8153872e9c6fc98f4023df9c2deaffea2fa463https://github.com/certifi/python-certifi/security/advisories/GHSA-248v-346w-9cwchttps://groups.google.com/a/mozilla.org/g/dev-security-policy/c/XpknYMPO8dIhttps://security.netapp.com/advisory/ntap-20241206-0001/