Security Lab

Несколько уязвимостей в OpenCA

Дата публикации:01.12.2003
Всего просмотров:1234
Опасность:
Средняя
Наличие исправления: Да
Количество уязвимостей:1
CVE ID: Нет данных
Вектор эксплуатации: Удаленная
Воздействие: Обход ограничений безопасности
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты: OpenCA 0.x
Уязвимые версии:

Описание: Несколько уязвимостей обнаружено в OpenCA в использовании цифровых сигнатрур. Удаленный атакующий может обойти enforce role-based access control (RBAC) правила. OpenCA может использовать неправильный сертификат в цепочке, который может вызвать отклоненный или истеченный сертификат, который будет принят как допустимый сертификат.

Библиотека 'crypto-utils.lib' некорректно использует OpenCA::PKCS7 (the OpenCA PKCS#7 module). Та же самая библиотека также использует все сертификаты, которые являются частью сигнатуры, чтобы создать X.509 объект сертификата подписывающего лица, которое может содержать "случайные" результаты.

Также сообщается, что 'OpenCA::PKCS7' включает некорректное регулярное выражение, чтобы определить, какие строки сертификата не связанны с цепочкой сертификата.

Также сообщается, что сериал в цепочке сертификата анализируется с неправильным регулярным выражением в 'OpenCA::PKCS7', в результате чего игнорируются заглавные буквы.

URL производителя: http://www.openca.org/

Решение:Установите обновленную версию программы (0.9.1.4): http://www.openca.org/openca/downloads.shtml

Ссылки: [OpenCA Advisory] Vulnerabilities in signature verification