• Все разделы
  • Статьи
  • Медиа
  • Новости
  • Нормативные материалы
  • Конференции
  • Глоссарий

Подмена подписи сертификатов

Главная Специалистам База уязвимостей Подмена подписи сертификатов

Карточка уязвимости

Характеристики уязвимости

Уровень опасности
Оценка CVSS
(AV:N/AC:L/Au:N/C:P/I:P/A:N)
Производитель ПО
HP
Наименование ПО
Mozilla (2.0.0.11) SeaMonkey (1.0, 1.0 Alpha, 1.0 Beta, 1.0 dev, 1.0.1, 1.0.2, 1.0.3, 1.0.4, 1.0.5) Thunderbird (1.5, 1.5 Beta 2, 1.5.0.1, 1.5.0.2, 1.5.0.3, 1.5.0.4, 1.5.0.6, 1.5.0.7) devhelp (Unknown)
Описание
Библиотека Mozilla Network Security Service (NSS) при использовании в Mozilla Firefox, Thunderbird и SeaMonkey с RSA-ключом со значением экспоненты 3 обрабатывает дополнительные данные в подписи некорректно, что позволяет злоумышленникам, действующим удаленно, подделывать подписи для почтовых сертификатов и сертификатов SSL/RLS.
Как исправить
Для устранения уязвимости необходимо установить последнюю версию продукта, соответствующую используемой платформе. Необходимую информацию можно получить по адресу:
http://www.mozilla.org/
Ссылки
http://www.mozilla.org/security/announce/2006/mfsa2006-66.html
http://www.mozilla.org/security/announce/2006/mfsa2006-60.html
https://bugzilla.mozilla.org/show_bug.cgi?id=356215
CERT (TA06-312A): http://www.us-cert.gov/cas/techalerts/TA06-312A.html
CERT-VN (VU#335392): http://www.kb.cert.org/vuls/id/335392
FRSIRT (ADV-2006-4387): http://www.frsirt.com/english/advisories/2006/4387
SECTRACK (1017180): http://securitytracker.com/id?1017180
SECTRACK (1017181): http://securitytracker.com/id?1017181
SECTRACK (1017182): http://securitytracker.com/id?1017182
MANDRIVA (MDKSA-2006:205): http://frontal2.mandriva.com/security/advisories?name=MDKSA-2006:205
MANDRIVA (MDKSA-2006:206): http://frontal2.mandriva.com/security/advisories?name=MDKSA-2006:206
REDHAT (RHSA-2006:0733): http://rhn.redhat.com/errata/RHSA-2006-0733.html
REDHAT (RHSA-2006:0734): http://rhn.redhat.com/errata/RHSA-2006-0734.html
REDHAT (RHSA-2006:0735): http://rhn.redhat.com/errata/RHSA-2006-0735.html
XF (mozilla-nss-security-bypass(30098)): http://xforce.iss.net/xforce/xfdb/30098
http://support.avaya.com/elmodocs2/security/ASA-2006-246.htm
SGI (20061101-01-P): ftp://patches.sgi.com/support/free/security/advisories/20061101-01-P
SUSE (SUSE-SA:2006:068): http://www.novell.com/linux/security/advisories/2006_68_mozilla.html
UBUNTU (USN-381-1): http://www.ubuntu.com/usn/usn-381-1
UBUNTU (USN-382-1): http://www.ubuntu.com/usn/usn-382-1
DEBIAN (DSA-1224): http://www.debian.org/security/2006/dsa-1224
DEBIAN (DSA-1225): http://www.debian.org/security/2006/dsa-1225
DEBIAN (DSA-1227): http://www.debian.org/security/2006/dsa-1227
HP (HPSBUX02153): http://www1.itrc.hp.com/service/cki/docDisplay.do?docId=c00771742
GENTOO (GLSA-200612-06): http://security.gentoo.org/glsa/glsa-200612-06.xml
GENTOO (GLSA-200612-07): http://security.gentoo.org/glsa/glsa-200612-07.xml
GENTOO (GLSA-200612-08): http://security.gentoo.org/glsa/glsa-200612-08.xml
SUNALERT (102781): http://sunsolve.sun.com/search/document.do?assetkey=1-26-102781-1
FRSIRT (ADV-2007-0293): http://www.frsirt.com/english/advisories/2007/0293
FRSIRT (ADV-2007-1198): http://www.frsirt.com/english/advisories/2007/1198