Краткое описание Уязвимость позволяет удаленному атакующему обойти некоторые ограничения безопасности. Подробное описание Уязвимость существует из-за ошибки в процедуре подтверждения подписей сертификатов. Если используется RSA ключ c экспонентой 3, то злоумышленник может подделать PKCS #1 v1.5 подпись. Уязвимые версии OpenSSL версии 0.9.7j и предыдущие OpenSSL версии 0.9.8b и предыдущие Использование уязвимости Использование уязвимости удаленно: да Использование уязвимости локально: нет Базовая оценка по системе CVSS CVSS Base Score: 1.9 (AV:R/AC:H/Au:NR/C:P/I:N/A:N/B:N) Ложные срабатывания (False Positives) Вывод о наличии уязвимости сделан на основе версии по результатам идентификации сервисов и приложений на сканируемом узле. Если при установке обновления номер версии не менялся, возможно ложное обнаружение уязвимости. Пропуск уязвимости (False Negatives) Случаев пропуска уязвимости зарегистрировано не было. Причины возможных пропусков неизвестны. Решение Для устранения уязвимости необходимо установить последнюю версию приложения OpenSSL, соответствующую используемой платформе. Необходимую информацию можно получить по адресу: http://www.openssl.org/ http://www.openssl.org/news/patch-CVE-2006-4339.txt Ссылки CVE (CVE-2006-4339): http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-4339 Bugtraq (Bid 19849): http://www.securityfocus.com/bid/19849 Securitylab: http://www.securitylab.ru/vulnerability/273353.php Secunia: http://secunia.com/advisories/21709/ http://www.openssl.org/news/secadv_20060905.txt http://www.openssl.org/news/patch-CVE-2006-4339.txt http://www.imc.org/ietf-openpgp/mail-archive/msg14307.html
Hosted by uCoz