CH azonosító
CH-1904Angol cím
ISC BIND "EVP_VerifyFinal()" and "DSA_do_verify()" Spoofing VulnerabilityFelfedezés dátuma
2009.01.27.Súlyosság
AlacsonyÖsszefoglaló
A Sun Solaris egy sérülékenységét ismerték el, melyet kihasználva rosszindulatú támadók hamisításos támadásokat indíthatnak.
Leírás
A sebezhetőséget a Bind hibája okozza.
Az ISC BIND egyes függvényei nem ellenőrzik megfelelően az OpenSSL “EVP_VerifyFinal()” és “DSA_do_verify()”függvények visszatérési értékét a DSA és NSEC3DSA kulcsok aláírásnak ellenőrzésekor. Ezt kihasználva DSA és NSEC3DSA kulcsokkal hamis vállaszokat lehet küldeni.
A sérülékenységet a Solaris 9 alatt jelentették, 112837-15-ös (SPARC) vagy 114265-14-es (x86) javítócsomaggal, valamint a Solaris 10 alatt SPARC és x86 platformokon egyaránt.
Megoldás
A gyártó a DSA algoritmus kikapcsolását javasolja a named.conf-ban (részletekért kérjük nézze meg a gyártó bejelentését).
Támadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: sunsolve.sun.com
SECUNIA 33404
SECUNIA 33683
CVE-2009-0025 - NVD CVE-2009-0025