 |
11.01.2009 12:17 |
| |
Спуфинг атака в OpenSSL |
 |
11 января, 2009
Программа: OpenSSL версии до 0.9.8j
Опасность: Средняя
Наличие эксплоита: Нет
Описание:
Уязвимость позволяет удаленному пользователю произвести спуфинг атаку.
Уязвимость существует из-за того, что некоторые OpenSSL функции некорректно проверяют данные, возвращаемые функцией EVP_VerifyFinal(), при проверке подписей для DSA и ECDSA ключей. Злоумышленник может обойти проверку подписи, например, при отправке специально сформированной подписи сертификата клиенту. Для успешной эксплуатации уязвимости сервер должен использовать сертификат, содержащий DSA или ECDSA ключ.
URL производителя: www.openssl.org
Решение: Установите последнюю версию 0.9.8j с сайта производителя.
URL адреса: http://www.openssl.org/news/secadv_20090107.txthttp://www.ocert.org/advisories/ocert-2008-016.html
CVE: CVE-2008-5077
|
|
|
Навигация по порталу: 
