Security Lab

Подделка RSA сигнатур в SSH Secure Shell

Дата публикации:03.07.2003
Всего просмотров:1540
Опасность:
Средняя
Наличие исправления: Да
Количество уязвимостей:1
CVE ID: Нет данных
Вектор эксплуатации: Удаленная
Воздействие: Межсайтовый скриптинг
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты: RSA ACE/Agent 5.x
Описание: Уязвимость авторизации обнаружена в SSH Secure Shell в SSH IPSEC Express Toolkit. Удаленный пользователь может подделать RSA сигнатуры.

Сообщается, что некоторые RSA сигнатуры могут быть неправильно определены как допустимые, при выполнении host или user идентификации, используя цифровые сертификаты и RSA ключи. Уязвимость воздействует на выполнение RSA PKCS v1.5.

Уязвимость обнаружена в SSH Secure Shell 3.1.0 - 3.1.7 and 3.2.0 - 3.2.4; SSH IPSEC Express Toolkit 5.0.0

Для устранения уязвимости, установите обновленную версию программы, которую можно скачать отсюда:

 
http://www.ssh.com/support/downloads/


The 3.1.8 version binaries can be installed on the old 3.1.x binaries (if you have the appropriate license).

SSH Secure Shell for Workstations 3.1:

http://www.ssh.com/support/downloads/secureshellwks/updates-and-pac kages-3-1.html

SSH Secure Shell for Servers 3.1:

http://www.ssh.com/support/downloads/secureshellserver/updates-and-packages-3-1.html

SSH Secure Shell for Windows Servers 3.1:

http://www.ssh.com/support/downloads/secureshellwinserver/updates-and-packages-3-1.html


The 3.2.5 version binaries can be installed on the old 3.2.x binaries (if you have the appropriate license).

SSH Secure Shell for Workstations 3.2:

http://www.ssh.com/support/downloads/secureshellwks/updates-and-packages-3-2.html

SSH Secure Shell for Servers 3.2:

http://www.ssh.com/support/downloads/secureshellserver/updates-and-packages-3-2.html

SSH Secure Shell for Windows Servers 3.2:

http://www.ssh.com/support/downloads/secureshellwinserver/updates-and-packages-3-2.html


Non-commercial source code and English Windows client binary without PKI and smart card functionality are available for the non-commercial users at:

ftp://ftp.ssh.com/pub/ssh/
Ссылки: SSH Secure Shell 3.1 to 3.2.4 and SSH IPSEC Express Toolkit 5.0.0