← volver
CVE-2024-39689

Certifi removes GLOBALTRUST root certificate

CVSS 7.5 HIGHEPSS 1.0%CWE-345
En resumen

Certifi, una biblioteca que almacena certificados raíz confiables para validar conexiones SSL, eliminó certificados de GLOBALTRUST debido a problemas de cumplimiento normativo. Esto impide que los sitios web que utilizan certificados GLOBALTRUST sean confiables por las aplicaciones que utilizan la versión actualizada de Certifi.

Detalle técnico

Certifi en versiones 2021.5.30 hasta 2024.7.3 aceptaba certificados raíz de GLOBALTRUST para verificación de hosts TLS. La versión 2024.7.4 eliminó estos certificados del almacén de confianza siguiendo la acción de Mozilla e investigaciones que identificaron incumplimiento normativo. Las aplicaciones que dependen de versiones antiguas de Certifi o que confían en certificados GLOBALTRUST experimentarán fallos en la validación de certificados.

Resumen generado y traducido por IA a partir de la descripción oficial.
Certifi is a curated collection of Root Certificates for validating the trustworthiness of SSL certificates while verifying the identity of TLS hosts. Certifi starting in 2021.5.30 and prior to 2024.7.4 recognized root certificates from `GLOBALTRUST`. Certifi 2024.7.04 removes root certificates from `GLOBALTRUST` from the root store. These are in the process of being removed from Mozilla's trust store. `GLOBALTRUST`'s root certificates are being removed pursuant to an investigation which identified "long-running and unresolved compliance issues."
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N
Productos afectados
certifi · python-certifi

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →
Referencias
https://github.com/certifi/python-certifi/commit/bd8153872e9c6fc98f4023df9c2deaffea2fa463https://github.com/certifi/python-certifi/security/advisories/GHSA-248v-346w-9cwchttps://groups.google.com/a/mozilla.org/g/dev-security-policy/c/XpknYMPO8dIhttps://security.netapp.com/advisory/ntap-20241206-0001/