Недостаток в кодировании файлов в CryptoBuddy
| Дата публикации: | 13.02.2003 |
| Всего просмотров: | 1248 |
| Опасность: | Средняя |
| Наличие исправления: | Нет |
| Количество уязвимостей: | 1 |
| CVE ID: | Нет данных |
| Вектор эксплуатации: | Локальная |
| Воздействие: | Раскрытие важных данных |
| CWE ID: | Нет данных |
| Наличие эксплоита: | Нет данных |
| Уязвимые продукты: | CryptoBuddy 1.x |
| Описание: | Уязвимость в управлении доступом обнаружена в Research Triangle Software's CryptoBuddy. Локальный пользователь с доступом к зашифрованному файлу, может расшифровать файл. Сообщается, что, когда система зашифровала файл, зашифрованная идентификационная фраза (passphrase) расположена в предсказуемом местоположении в зашифрованном файле (смещение 120:15A). Однако сообщается, что нет зависимости между идентификационной фразой и ключом, используемым для шифрования файла. Зашифрованный текст полностью расположен до passphrase блока (в смещении 15C, после пробела (0x00) в смещении 15B). Локальный пользователь может зашифровать произвольный файл (включая пустой файл) и затем отыскать зашифрованную идентификационную фразу в предсказуемом местоположении. Это зашифрованная идентификационная фраза может быть перезаписана в том же местоположении в другом зашифрованном файле, позволяя локальному местному пользователю расшифровать конечный файл, используя свой passphrase. Также сообщается, что процесс кодирования passphrase слаб и passphrase длинее 55 байтов будет усечена до 55 байт, а остальная часть будет сохранена в открытом виде. Подробное описание смотрите в источние сообщения Уязвимость обнаружена в CryptoBuddy 1.2 |
| Ссылки: | RTS CryptoBuddy Multiple Encryption Implementation Vulnerabilities |