Дата публикации: | 01.12.2003 |
Всего просмотров: | 1255 |
Опасность: | Средняя |
Наличие исправления: | Да |
Количество уязвимостей: | 1 |
CVE ID: | Нет данных |
Вектор эксплуатации: | Удаленная |
Воздействие: | Обход ограничений безопасности |
CWE ID: | Нет данных |
Наличие эксплоита: | Нет данных |
Уязвимые продукты: | OpenCA 0.x |
Уязвимые версии:
Описание: Несколько уязвимостей обнаружено в OpenCA в использовании цифровых сигнатрур. Удаленный атакующий может обойти enforce role-based access control (RBAC) правила. OpenCA может использовать неправильный сертификат в цепочке, который может вызвать отклоненный или истеченный сертификат, который будет принят как допустимый сертификат. Библиотека 'crypto-utils.lib' некорректно использует OpenCA::PKCS7 (the OpenCA PKCS#7 module). Та же самая библиотека также использует все сертификаты, которые являются частью сигнатуры, чтобы создать X.509 объект сертификата подписывающего лица, которое может содержать "случайные" результаты. Также сообщается, что 'OpenCA::PKCS7' включает некорректное регулярное выражение, чтобы определить, какие строки сертификата не связанны с цепочкой сертификата. Также сообщается, что сериал в цепочке сертификата анализируется с неправильным регулярным выражением в 'OpenCA::PKCS7', в результате чего игнорируются заглавные буквы. URL производителя: http://www.openca.org/ Решение:Установите обновленную версию программы (0.9.1.4): http://www.openca.org/openca/downloads.shtml |
|
Ссылки: | [OpenCA Advisory] Vulnerabilities in signature verification |