Security Lab

Большинство Wap шлюзов неверно проверяет SSL сертификаты

Дата публикации:10.07.2001
Дата изменения:17.10.2006
Всего просмотров:1457
Опасность:
Наличие исправления:
Количество уязвимостей:1
CVE ID: Нет данных
Вектор эксплуатации:
Воздействие:
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты:
Описание:

Найдена уязвимость в наиболее используемых в настоящее время Wap шлюзов, вызванная неправильной проверкой SSL сертификатов. Если эти сертификаты (они используются когда HTTPS, SSL включены) недопустимы, пользователю не выдается никакого предупреждения. Это позволяет нападавшим фальсифицировать “допустимый” сертификат, позволяющий ему ввести в заблуждение wap пользователей в раскрытие чувствительной информации.

Уязвимость работает в

* CMG (в следующем обновлении эта проблема будет решена)

* Openwave(Phone.com) – уязвим по умолчанию, но данная проблема может быть устранена правильной настройкой системы.

* Nokia (на HP/UX) – не уязвим.

Для проверки вашего шлюза на уязвимость зайдите на следующий URL:

http://wap.z-y-g-o.com/cgi-bin/gateway_test