CH azonosító
CH-7437Angol cím
InterNetNews nnrpd "STARTTLS" Plaintext Injection VulnerabilityFelfedezés dátuma
2012.08.21.Súlyosság
AlacsonyÉrintett rendszerek
InterNetNews (INN)Internet Systems Consortium (ISC)
Érintett verziók
InterNetNews (INN) 2.x
Összefoglaló
Az InterNetNews olyan sérülékenysége vált ismertté, amelyet a támadók kihasználhatnak bizonyos adatok manipulálására.
Leírás
A “STARTTLS” parancs fogadását követően a normál szövegről titkosított szövegre (ciphertext) történő frissítéskor a TLS egy hibája miatt a szállítási réteg pufferei nem kerülnek megfelelően törlésre. Ez a szöveg fázisban kihasználható tetszőleges szöveg alapú adatok (pl. NNTP parancsok) beszúrására, amelyek a TLS chipertext fázist követően kerülnek lefuttatásra.
A sérülékenységet 2.5.3 előtti verziókban ismerték fel.
Megoldás
Frissítsen a legújabb verzióraTámadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: www.isc.org
SECUNIA 50320
CVE-2012-3523 - NVD CVE-2012-3523