Карточка уязвимости
Характеристики уязвимости
Уровень опасности
Оценка CVSS
(AV:N/AC:M/Au:N/C:N/I:P/A:P)
Производитель ПО
Наименование ПО
Описание
Библиотека GnuTLS предоставляет поддержку криптографических алгоритмов и протоколов, таких как Transport Layer Security (TLS).
Уязвимость обнаружена при обработке повторного создания соединения по протоколам TLS/SSL (Transport Layer Security/Secure Sockets Layer). Злоумышленник может использовать данную уязвимость, чтобы вставить префикс в виде любого текста в сессию клиента (например, при HTTPS-подключении к веб-сайту). Это заставит сервер выполнить запрос злоумышленника, как если бы он прошел аутентификацию с учетными данными жертвы. Данное обновление исправляет эту ошибку, используя TLS Renegotiation Indication Extension, как указано в RFC 5746. (CVE-2009-3555)
Дополнительную информацию можно получить в статье об уязвимости CVE-2009-3555: http://kbase.redhat.com/faq/docs/DOC-20491
http://kbase.redhat.com/faq/docs/DOC-20491">http://kbase.redhat.com/faq/docs/DOC-20491
/> Обнаружено, что браузеры могут принимать сертификаты с подписями MD2 hash, хотя MD2 уже не считается криптографически сильным алгоритмом. Это облегчает для злоумышленника задачу создания сертификата, который будет обрабатываться браузером как доверенный. GnuTLS отключает использование подписей MD2 по умолчанию. (CVE-2009-2409)
Пользователям GnuTLS рекомендуется обновить программное обеспечение, чтобы избавиться от указанных проблем. Чтобы изменения вступили в силу, все приложения, использующие библиотеку GnuTLS, необходимо перезагрузить.
Уязвимость обнаружена при обработке повторного создания соединения по протоколам TLS/SSL (Transport Layer Security/Secure Sockets Layer). Злоумышленник может использовать данную уязвимость, чтобы вставить префикс в виде любого текста в сессию клиента (например, при HTTPS-подключении к веб-сайту). Это заставит сервер выполнить запрос злоумышленника, как если бы он прошел аутентификацию с учетными данными жертвы. Данное обновление исправляет эту ошибку, используя TLS Renegotiation Indication Extension, как указано в RFC 5746. (CVE-2009-3555)
Дополнительную информацию можно получить в статье об уязвимости CVE-2009-3555: http://kbase.redhat.com/faq/docs/DOC-20491
http://kbase.redhat.com/faq/docs/DOC-20491">http://kbase.redhat.com/faq/docs/DOC-20491
/> Обнаружено, что браузеры могут принимать сертификаты с подписями MD2 hash, хотя MD2 уже не считается криптографически сильным алгоритмом. Это облегчает для злоумышленника задачу создания сертификата, который будет обрабатываться браузером как доверенный. GnuTLS отключает использование подписей MD2 по умолчанию. (CVE-2009-2409)
Пользователям GnuTLS рекомендуется обновить программное обеспечение, чтобы избавиться от указанных проблем. Чтобы изменения вступили в силу, все приложения, использующие библиотеку GnuTLS, необходимо перезагрузить.
Как исправить
Для устранения уязвимости необходимо установить последнюю версию продукта, соответствующую используемой платформе. Необходимую информацию можно получить по адресу:
https://rhn.redhat.com/errata/RHSA-2010-0166.html
https://rhn.redhat.com/errata/RHSA-2010-0166.html
Ссылки
https://rhn.redhat.com/errata/RHSA-2010-0166.html
CVE (CVE-2009-2409): https://www.redhat.com/security/data/cve/CVE-2009-2409.html
CVE (CVE-2009-3555): https://www.redhat.com/security/data/cve/CVE-2009-3555.html
BUGZILLA (510197): http://bugzilla.redhat.com/510197
BUGZILLA (533125): http://bugzilla.redhat.com/533125
Источник: CVE
Наименование: CVE-2009-2409
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-2409
Источник: CVE
Наименование: CVE-2009-3555
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-3555
CVE (CVE-2009-2409): https://www.redhat.com/security/data/cve/CVE-2009-2409.html
CVE (CVE-2009-3555): https://www.redhat.com/security/data/cve/CVE-2009-3555.html
BUGZILLA (510197): http://bugzilla.redhat.com/510197
BUGZILLA (533125): http://bugzilla.redhat.com/533125
Источник: CVE
Наименование: CVE-2009-2409
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-2409
Источник: CVE
Наименование: CVE-2009-3555
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-3555