• Все разделы
  • Статьи
  • Медиа
  • Новости
  • Нормативные материалы
  • Конференции
  • Глоссарий

Подмена SSL-сертификата

Карточка уязвимости

Характеристики уязвимости

Уровень опасности
Оценка CVSS
(AV:N/AC:M/Au:N/C:N/I:P/A:P)
Производитель ПО
Наименование ПО
PostgreSQL (7.4, 7.4.27, 8.0, 8.0.23, 8.1, 8.1.19, 8.2, 8.2.15, 8.3, 8.3.9, 8.4, 8.4.2)
Описание
PostgreSQL некорректно обрабатывает символ "\0" в имени домена в поле Common Name (CN) сертификата X.509. Данная уязвимость позволяет злоумышленникам провести атаку "человек-посередине" и подменить произвольные PostgreSQL-серверы, работающие на базе SSL, используя специально сформированный сертификат сервера, выданный доверенным удостоверяющим центром. Кроме того, данная уязвимость позволяет злоумышленникам, действующим удаленно, обойти используемые ограничения на имена узлов клиентов, используя специально сформированный сертификат, выданный доверенным удостоверяющим центром.
Как исправить
Для устранения уязвимости необходимо установить последнюю версию продукта, соответствующую используемой платформе. Необходимую информацию можно получить по адресу:
http://www.postgresql.org/
Ссылки