PHP SSL modul “subjectAltNames” NULL bájt kezelési sérülékenység

2013. augusztus 18. 04:11

CH azonosító

CH-9664

Angol cím

PHP SSL Module "subjectAltNames" NULL Byte Handling Security Issue

Felfedezés dátuma

2013.08.16.

Súlyosság

Alacsony

Érintett rendszerek

PHP
PHP Group

Érintett verziók

PHP 5.3.x
PHP 5.5.x

Összefoglaló

A PHP sérülékenysége vált ismertté, amelyet kihasználva a támadók hamisításos támadásokat hajthatnak végre.

Leírás

A sérülékenység oka, hogy az SSL modul nem megfelelően kezeli a “subjectAltNames” általános nevekbeli NULL bájtokat a szerver SSL tanúsítványban. Ez kihasználható a szerver meghamisítására egy Mitm (Man-in-the-Middle) támadással, melyet követően pl. bizalmas információkat lehet felfedni.

A sérülékenységet az 5.5.1 és azt megelőző, valamint az 5.3.27 és azt megelőző verziókban jelentették.

Hivatkozások

Gyártói referencia: git.php.net
Gyártói referencia: git.php.net
Gyártói referencia: git.php.net
CVE-2013-4248 - NVD CVE-2013-4248
SECUNIA 54480

Legfrissebb sérülékenységek

CVE-2024-31857 – WordPress Forminator plugin sérülékenysége

CVE-2024-31077 – WordPress Forminator plugin sérülékenysége

CVE-2024-28890 – WordPress Forminator plugin sérülékenysége

CVE-2024-20295 – Cisco IMC sérülékenysége

CVE-2024-3400 – Palo Alto Networks PAN-OS sérülékenysége

CVE-2024-3566 – Windows CreateProcess sérülékenysége

CVE-2024-22423 – yt-dlp sérülékenysége

CVE-2024-1874 – PHP sérülékenysége

CVE-2024-24576 – Rust sérülékenysége

CVE-2023-45590 – Fortinet FortiClientLinux sérülékenysége

Tovább a sérülékenységekhez »

PHP SSL modul “subjectAltNames” NULL bájt kezelési sérülékenység