Ошибка проверки подлинности сообщений в PGP Desktop
| Дата публикации: | 22.11.2010 |
| Дата изменения: | 23.11.2010 |
| Всего просмотров: | 3797 |
| Опасность: | Средняя |
| Наличие исправления: | Да |
| Количество уязвимостей: | 1 |
| CVSSv2 рейтинг: | 8.3 (AV:N/AC:M/Au:N/C:P/I:C/A:P/E:U/RL:O/RC:C) |
| CVE ID: | CVE-2010-3618 |
| Вектор эксплуатации: | Удаленная |
| Воздействие: |
Неавторизованное изменение данных Обход ограничений безопасности Спуфинг атака |
| CWE ID: | Нет данных |
| Наличие эксплоита: | Нет данных |
| Уязвимые продукты: |
PGP Desktop 10.x
PGP Corporate Desktop 9.x |
| Уязвимые версии: PGP Desktop 9.8.3, 10.0.3, 10.1.0 и более ранние версии.
Описание: Уязвимость существует из-за ошибки в механизме проверки OpenPGP сообщений. Удаленный пользователь может перехватить и подменить подписанное OpenPGP сообщение, которое будет отображаться как полностью валидное сообщение, когда получатель попробует расшифровать его и проверить .pgp файл. URL производителя: www.pgp.com/products/desktop_home/index.html Решение: Установите последнюю версию 10.0.3SP2 или 10.1.0 SP1 с сайта производителя. |
|
| Ссылки: | SYM10-012: Security Advisories Relating to Symantec Products - PGP Desktop Unsigned Data Insertion |
|
|
https://pgp.custhelp.com/app/answers/detail/a_id/2290 http://www.cs.ru.nl/E.Verheul/papers/Govcert/Pretty%20Good%20Piggybagging%20v1.0.pdf |
| Журнал изменений: | a:2:{s:4:"TEXT";s:73:"23.11.2010 Добавлена информация об уязвимости в PGP Desktop 9.8.3.";s:4:"TYPE";s:4:"html";} |