ГлавнаяБаза уязвимостей БДУ → BDU:2022-04756
7.1высокая

BDU:2022-04756 (CVE-2016-2402)

Уязвимость клиентской HTTP-библиотеки OKHttp Square, связанная с ошибками процедуры подтверждения подлинности сертификата, позволяющая нарушителю обойти существующие ограничения безопасности и реализовать атаку типа «человек посередине»
Опубликовано: 2022-08-02
Описание

Уязвимость клиентской HTTP-библиотеки OKHttp Square связана с ошибками процедуры подтверждения подлинности сертификата. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, обойти существующие ограничения безопасности и реализовать атаку типа «человек посередине»

Затрагиваемое ПО и версии
OKHttp (до 2.7.3 включительно)IBM PureData System for Operational Analytics (1.1)OKHttp (до 3.1.1)
Способ устранения

Использование рекомендаций:
https://koz.io/pinning-cve-2016-2402/

Для программных продуктов IBM:
https://www.ibm.com/support/pages/security-bulletin-multiple-vulnerabilities-dependent-libraries-affect-ibm%C2%AE-db2%C2%AE-leading-denial-service-or-privilege-escalation-0
https://www.ibm.com/docs/en/cloud-paks/cp-data/4.0?topic=new-watson-machine-learning

Оценка CVSS
Балл7.1 — высокая опасность
Источники и патчи
https://nvd.nist.gov/vuln/detail/CVE-2016-2402https://vuldb.com/ru/?id.96298http://www.openwall.com/lists/oss-security/2016/02/10/8http://www.openwall.com/lists/oss-security/2016/02/18/7https://koz.io/pinning-cve-2016-2402/https://lists.apache.org/thread.html/rd0e44e8ef71eeaaa3cf3d1b8b41eb25894372e2995ec908ce7624d26@%3Ccommits.pulsar.apache.org%3Ehttps://publicobject.com/2016/02/11/okhttp-certificate-pinning-vulnerability/
Проверьте безопасность своего сайта и почты → Полная проверка домена