Карточка уязвимости
Характеристики уязвимости
Уровень опасности
Оценка CVSS
(AV:N/AC:M/Au:N/C:P/I:N/A:N)
Производитель ПО
Наименование ПО
Python
(2.6.0, 2.6.8, 2.7.0, 2.7.3, 3.0.0, 3.1.5, 3.2.0, 3.2.3)
Описание
Уязвимость существует в SSL-протоколе из-за шифрования данных в режиме CBC (Cipher Block Chaining) с векторами инициализации. Эксплуатация данной уязвимости позволяет злоумышленнику, действующему по принципу "человек посередине", получить доступ к незашифрованным HTTP-заголовкам, используя атаку на HTTPS-сессии на основе поблочно подобранных границ (blockwise chosen-boundary attack) совместно с JavaScript-кодом, в который используется HTML5 WebSocket API, Java URLConnection API или Silverlight WebClient API. Данная уязвимость известна также под названием BEAST-атака.
Как исправить
Для устранения уязвимости необходимо установить последнюю версию продукта, соответствующую используемой платформе. Необходимую информацию можно получить по адресу:
http://www.python.org/
http://www.python.org/
Ссылки
Источник: CVE
Наименование: CVE-2011-3389
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-3389
BID (49388): http://www.securityfocus.com/bid/49388
BID (49778): http://www.securityfocus.com/bid/49778
OSVDB (74829): http://osvdb.org/74829
Наименование: CVE-2011-3389
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-3389
BID (49388): http://www.securityfocus.com/bid/49388
BID (49778): http://www.securityfocus.com/bid/49778
OSVDB (74829): http://osvdb.org/74829