• Все разделы
  • Статьи
  • Медиа
  • Новости
  • Нормативные материалы
  • Конференции
  • Глоссарий

Бюллетень безопасности RHSA-2010:0166-01

Главная Специалистам База уязвимостей Бюллетень безопасности RHSA-2010:0166-01

Карточка уязвимости

Характеристики уязвимости

Уровень опасности
Оценка CVSS
(AV:N/AC:M/Au:N/C:N/I:P/A:P)
Производитель ПО
Наименование ПО
gnutls (any) gnutls-devel (any) gnutls-utils (any)
Описание
Библиотека GnuTLS предоставляет поддержку криптографических алгоритмов и протоколов, таких как Transport Layer Security (TLS).
Уязвимость обнаружена при обработке повторного создания соединения по протоколам TLS/SSL (Transport Layer Security/Secure Sockets Layer). Злоумышленник может использовать данную уязвимость, чтобы вставить префикс в виде любого текста в сессию клиента (например, при HTTPS-подключении к веб-сайту). Это заставит сервер выполнить запрос злоумышленника, как если бы он прошел аутентификацию с учетными данными жертвы. Данное обновление исправляет эту ошибку, используя TLS Renegotiation Indication Extension, как указано в RFC 5746. (CVE-2009-3555)
Дополнительную информацию можно получить в статье об уязвимости CVE-2009-3555: http://kbase.redhat.com/faq/docs/DOC-20491http://kbase.redhat.com/faq/docs/DOC-20491">http://kbase.redhat.com/faq/docs/DOC-20491 /> Обнаружено, что браузеры могут принимать сертификаты с подписями MD2 hash, хотя MD2 уже не считается криптографически сильным алгоритмом. Это облегчает для злоумышленника задачу создания сертификата, который будет обрабатываться браузером как доверенный. GnuTLS отключает использование подписей MD2 по умолчанию. (CVE-2009-2409)
Пользователям GnuTLS рекомендуется обновить программное обеспечение, чтобы избавиться от указанных проблем. Чтобы изменения вступили в силу, все приложения, использующие библиотеку GnuTLS, необходимо перезагрузить.
Как исправить
Для устранения уязвимости необходимо установить последнюю версию продукта, соответствующую используемой платформе. Необходимую информацию можно получить по адресу:
https://rhn.redhat.com/errata/RHSA-2010-0166.html
Ссылки