• Все разделы
  • Статьи
  • Медиа
  • Новости
  • Нормативные материалы
  • Конференции
  • Глоссарий

Переполнение буфера

Карточка уязвимости

Характеристики уязвимости

Уровень опасности
Оценка CVSS
Производитель ПО
Наименование ПО
Fortinet FortiOS (7.2.1, 7.2.2)
Описание
Переполнение буфера, связанное с проверкой ограничений имен для сертификатов X.509, позволяет злоумышленникам вызвать аварийное завершение работы (отказ в обслуживании), используя, например, специально сформированный адрес электронной почты в сертификате, чтобы вызвать переполнение произвольного количества байтов стека, содержащих символ «.» (десятичное значение 46). Переполнение возникает при проверке подписи цепочки сертификатов, если вредоносный сертификат был подписан ЦС или приложение продолжает проверку сертификата после неудачной попытки создания пути до доверенного поставщика сертификатов. В TLS-клиентах уязвимость возникает при подключении к вредоносному серверу. В TLS-серверах уязвимость возникает, если сервер запрашивает аутентификацию клиента, а вредоносный клиент подключается.
Как исправить
Используйте рекомендации производителя:
https://www.fortiguard.com/psirt/FG-IR-22-419
Ссылки
Источник: CVE
Наименование: CVE-2022-3786
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-3786