• Все разделы
  • Статьи
  • Медиа
  • Новости
  • Нормативные материалы
  • Конференции
  • Глоссарий

Подмена SSL-сертификатов

Главная Специалистам База уязвимостей Подмена SSL-сертификатов

Карточка уязвимости

Характеристики уязвимости

Уровень опасности
Оценка CVSS
(AV:N/AC:H/Au:N/C:N/I:P/A:P)
Производитель ПО
Наименование ПО
Firefox (2.0.0.15, 2.0b1) devhelp (Unknown) firefox (Unknown) seamonkey (Unknown) thunderbird (Unknown) xulrunner (Unknown)
Описание
Mozilla Firefox, SeaMonkey, Netscape и другие Mozilla-браузеры, когда пользователь принимает сертификат SSL-сервера на основе доменного имени CN в поле DN, считают этот сертификат принятым для всех доменных имен в полях subjectAltName:dNSName, что позволяет злоумышленникам, действующим удаленно, создать ситуацию, когда пользователь примет сертификат веб-сайта злоумышленника.
Как исправить
Для устранения уязвимости необходимо установить последнюю версию продукта, соответствующую используемой платформе. Необходимую информацию можно получить по адресу:
http://www.mozilla-europe.org/products/
Ссылки
BID (30038): http://www.securityfocus.com/bid/30038
FRSIRT (ADV-2008-1993): http://www.frsirt.com/english/advisories/2008/1993/references
VE-2008-2809
XF (mozilla-altnames-spoofing(43524)): http://xforce.iss.net/xforce/xfdb/43524
Отказ в обслуживании Межсайтовое выполнение сценариев