Карточка уязвимости
Характеристики уязвимости
Уровень опасности
Оценка CVSS
(AV:N/AC:L/Au:N/C:P/I:P/A:P)
Производитель ПО
Наименование ПО
curl
(Unknown)
Описание
lib/ssluse.c в cURL и libcurl, когда используется OpenSSL, некорректно обрабатывает символ '\0' в доменном имени в поле Common Name (CN) сертификата X.509, что позволяет злоумышленнику подменить произвольный SSL-сервер, используя специально сформированный сертификат, который был выпущен доверенным центром сертификации.
Как исправить
Для устранения уязвимости необходимо установить последнюю версию продукта, соответствующую используемой платформе. Необходимую информацию можно получить по адресу:
http://curl.haxx.se/
http://curl.haxx.se/
Ссылки
XF (curl-certificate-security-bypass(52405)): http://xforce.iss.net/xforce/xfdb/52405
CONFIRM (http://curl.haxx.se/CVE-2009-2417/curl-7.19.5-CVE-2009-2417.patch): http://curl.haxx.se/CVE-2009-2417/curl-7.19.5-CVE-2009-2417.patch
CONFIRM (http://curl.haxx.se/CVE-2009-2417/curl-7.19.0-CVE-2009-2417.patch): http://curl.haxx.se/CVE-2009-2417/curl-7.19.0-CVE-2009-2417.patch
CONFIRM (http://curl.haxx.se/CVE-2009-2417/curl-7.18.1-CVE-2009-2417.patch): http://curl.haxx.se/CVE-2009-2417/curl-7.18.1-CVE-2009-2417.patch
CONFIRM (http://curl.haxx.se/CVE-2009-2417/curl-7.16.4-CVE-2009-2417.patch): http://curl.haxx.se/CVE-2009-2417/curl-7.16.4-CVE-2009-2417.patch
CONFIRM (http://curl.haxx.se/CVE-2009-2417/curl-7.15.5-CVE-2009-2417.patch): http://curl.haxx.se/CVE-2009-2417/curl-7.15.5-CVE-2009-2417.patch
CONFIRM (http://curl.haxx.se/CVE-2009-2417/curl-7.15.1-CVE-2009-2417.patch): http://curl.haxx.se/CVE-2009-2417/curl-7.15.1-CVE-2009-2417.patch
CONFIRM (http://curl.haxx.se/CVE-2009-2417/curl-7.12.1-CVE-2009-2417.patch): http://curl.haxx.se/CVE-2009-2417/curl-7.12.1-CVE-2009-2417.patch
CONFIRM (http://curl.haxx.se/CVE-2009-2417/curl-7.11.0-CVE-2009-2417.patch): http://curl.haxx.se/CVE-2009-2417/curl-7.11.0-CVE-2009-2417.patch
CONFIRM (http://curl.haxx.se/CVE-2009-2417/curl-7.10.6-CVE-2009-2417.patch): http://curl.haxx.se/CVE-2009-2417/curl-7.10.6-CVE-2009-2417.patch
VUPEN (ADV-2009-2263): http://www.vupen.com/english/advisories/2009/2263
BID (36032): http://www.securityfocus.com/bid/36032
CONFIRM (http://curl.haxx.se/docs/adv_20090812.txt): http://curl.haxx.se/docs/adv_20090812.txt
CONFIRM (http://curl.haxx.se/CVE-2009-2417/curl-7.19.5-CVE-2009-2417.patch): http://curl.haxx.se/CVE-2009-2417/curl-7.19.5-CVE-2009-2417.patch
CONFIRM (http://curl.haxx.se/CVE-2009-2417/curl-7.19.0-CVE-2009-2417.patch): http://curl.haxx.se/CVE-2009-2417/curl-7.19.0-CVE-2009-2417.patch
CONFIRM (http://curl.haxx.se/CVE-2009-2417/curl-7.18.1-CVE-2009-2417.patch): http://curl.haxx.se/CVE-2009-2417/curl-7.18.1-CVE-2009-2417.patch
CONFIRM (http://curl.haxx.se/CVE-2009-2417/curl-7.16.4-CVE-2009-2417.patch): http://curl.haxx.se/CVE-2009-2417/curl-7.16.4-CVE-2009-2417.patch
CONFIRM (http://curl.haxx.se/CVE-2009-2417/curl-7.15.5-CVE-2009-2417.patch): http://curl.haxx.se/CVE-2009-2417/curl-7.15.5-CVE-2009-2417.patch
CONFIRM (http://curl.haxx.se/CVE-2009-2417/curl-7.15.1-CVE-2009-2417.patch): http://curl.haxx.se/CVE-2009-2417/curl-7.15.1-CVE-2009-2417.patch
CONFIRM (http://curl.haxx.se/CVE-2009-2417/curl-7.12.1-CVE-2009-2417.patch): http://curl.haxx.se/CVE-2009-2417/curl-7.12.1-CVE-2009-2417.patch
CONFIRM (http://curl.haxx.se/CVE-2009-2417/curl-7.11.0-CVE-2009-2417.patch): http://curl.haxx.se/CVE-2009-2417/curl-7.11.0-CVE-2009-2417.patch
CONFIRM (http://curl.haxx.se/CVE-2009-2417/curl-7.10.6-CVE-2009-2417.patch): http://curl.haxx.se/CVE-2009-2417/curl-7.10.6-CVE-2009-2417.patch
VUPEN (ADV-2009-2263): http://www.vupen.com/english/advisories/2009/2263
BID (36032): http://www.securityfocus.com/bid/36032
CONFIRM (http://curl.haxx.se/docs/adv_20090812.txt): http://curl.haxx.se/docs/adv_20090812.txt