Недостаток в кодировании файлов в CryptoBuddy

Дата публикации:
13.02.2003
Всего просмотров:
869
Опасность:
Средняя
Наличие исправления:
Нет
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
Нет данных
Вектор эксплуатации:
Локальная
Воздействие:
Раскрытие важных данных
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
CryptoBuddy 1.x
Описание: Уязвимость в управлении доступом обнаружена в Research Triangle Software's CryptoBuddy. Локальный пользователь с доступом к зашифрованному файлу, может расшифровать файл.

Сообщается, что, когда система зашифровала файл, зашифрованная идентификационная фраза (passphrase) расположена в предсказуемом местоположении в зашифрованном файле (смещение 120:15A). Однако сообщается, что нет зависимости между идентификационной фразой и ключом, используемым для шифрования файла.

Зашифрованный текст полностью расположен до passphrase блока (в смещении 15C, после пробела (0x00) в смещении 15B).

Локальный пользователь может зашифровать произвольный файл (включая пустой файл) и затем отыскать зашифрованную идентификационную фразу в предсказуемом местоположении. Это зашифрованная идентификационная фраза может быть перезаписана в том же местоположении в другом зашифрованном файле, позволяя локальному местному пользователю расшифровать конечный файл, используя свой passphrase.

Также сообщается, что процесс кодирования passphrase слаб и passphrase длинее 55 байтов будет усечена до 55 байт, а остальная часть будет сохранена в открытом виде.

Подробное описание смотрите в источние сообщения

Уязвимость обнаружена в CryptoBuddy 1.2

Ссылки: RTS CryptoBuddy Multiple Encryption Implementation Vulnerabilities

или введите имя

CAPTCHA