CVE-2019-1552
Windows builds with insecure path defaults
Severity Score
Exploit Likelihood
Affected Versions
Public Exploits
0Exploited in Wild
-Decision
Descriptions
OpenSSL has internal defaults for a directory tree where it can find a configuration file as well as certificates used for verification in TLS. This directory is most commonly referred to as OPENSSLDIR, and is configurable with the --prefix / --openssldir configuration options. For OpenSSL versions 1.1.0 and 1.1.1, the mingw configuration targets assume that resulting programs and libraries are installed in a Unix-like environment and the default prefix for program installation as well as for OPENSSLDIR should be '/usr/local'. However, mingw programs are Windows programs, and as such, find themselves looking at sub-directories of 'C:/usr/local', which may be world writable, which enables untrusted users to modify OpenSSL's default configuration, insert CA certificates, modify (or even replace) existing engine modules, etc. For OpenSSL 1.0.2, '/usr/local/ssl' is used as default for OPENSSLDIR on all Unix and Windows targets, including Visual C builds. However, some build instructions for the diverse Windows targets on 1.0.2 encourage you to specify your own --prefix. OpenSSL versions 1.1.1, 1.1.0 and 1.0.2 are affected by this issue. Due to the limited scope of affected deployments this has been assessed as low severity and therefore we are not creating new releases at this time. Fixed in OpenSSL 1.1.1d (Affected 1.1.1-1.1.1c). Fixed in OpenSSL 1.1.0l (Affected 1.1.0-1.1.0k). Fixed in OpenSSL 1.0.2t (Affected 1.0.2-1.0.2s).
OpenSSL presenta valores predeterminados internos para un árbol de directorios donde puede encontrar un archivo de configuración, así como certificados utilizados para la comprobación en TLS. Este directorio se conoce más comúnmente como OPENSSLDIR, y se puede configurar con las opciones de configuración --prefix / --openssldir. Para las versiones 1.1.0 y 1.1.1 de OpenSSL, los destinos de configuración de mingw suponen que los programas y bibliotecas resultantes están instalados en un entorno similar a Unix y el prefijo predeterminado para la instalación del programa, así como para OPENSSLDIR debe ser “/usr/ local”. Sin embargo, los programas mingw son programas de Windows, y como tal, se encuentran buscando subdirectorios de “C:/usr/local”, que pueden ser grabables world, lo que permite a los usuarios no confiables modificar la configuración predeterminada de OpenSSL, insertar certificados de CA, modificar (o incluso reemplazar) los módulos de motor existentes, etc. Para OpenSSL versión 1.0.2, “/usr/local/ssl” se utiliza de por defecto para OPENSSLDIR en todos los Unix y Windows de destino, incluidas las compilaciones de Visual C. Sin embargo, algunas instrucciones de compilación para los diversos Windows de destino en la versión 1.0.2 le incentivan a especificar su propio --prefix. Las versiones 1.1.1, 1.1.0 y 1.0.2 de OpenSSL están afectadas por este problema. Debido al alcance limitado de las implementaciones afectadas, esto se ha evaluado como de baja gravedad y, por lo tanto, no estamos creando nuevas versiones en este momento. Corregido en OpenSSL versión 1.1.1d (versiones afectadas 1.1.1 hasta 1.1.1c). Corregido en OpenSSL versión 1.1.0l (versiones afectadas 1.1.0 hasta 1.1.0k). Corregido en OpenSSL versión 1.0.2t (versiones afectadas 1.0.2 hasta 1.0.2s).
CVSS Scores
SSVC
- Decision:-
Timeline
- 2018-11-28 CVE Reserved
- 2019-07-30 CVE Published
- 2024-07-23 EPSS Updated
- 2024-09-16 CVE Updated
- ---------- Exploited in Wild
- ---------- KEV Due Date
- ---------- First Exploit
CWE
- CWE-295: Improper Certificate Validation
CAPEC
References (21)
URL | Date | SRC |
---|
URL | Date | SRC |
---|
Affected Vendors, Products, and Versions
Vendor | Product | Version | Other | Status | ||||||
---|---|---|---|---|---|---|---|---|---|---|
Vendor | Product | Version | Other | Status | <-- --> | Vendor | Product | Version | Other | Status |
Openssl Search vendor "Openssl" | Openssl Search vendor "Openssl" for product "Openssl" | >= 1.0.2 <= 1.0.2s Search vendor "Openssl" for product "Openssl" and version " >= 1.0.2 <= 1.0.2s" | - |
Affected
| ||||||
Openssl Search vendor "Openssl" | Openssl Search vendor "Openssl" for product "Openssl" | >= 1.1.0 <= 1.1.0k Search vendor "Openssl" for product "Openssl" and version " >= 1.1.0 <= 1.1.0k" | - |
Affected
| ||||||
Openssl Search vendor "Openssl" | Openssl Search vendor "Openssl" for product "Openssl" | >= 1.1.1 <= 1.1.1c Search vendor "Openssl" for product "Openssl" and version " >= 1.1.1 <= 1.1.1c" | - |
Affected
|