CWE-310КатегорияЧерновик
Криптографические проблемы
Слабости этой категории связаны с проектированием и реализацией конфиденциальности и целостности данных. Зачастую они касаются применения техник кодирования, криптографических библиотек и хэш-алгоритмов. При отсутствии должного внимания слабости этой категории способны привести к снижению качества данных.
Открыть в каталоге с фильтром CWE →Связанные CAPEC
—
Связанные уязвимости
CVE-2014-7878Application Lifecycle Service (ALS) в HP Helion Cloud Development Platform 1.0, когда виртуальная машина получена из образа Seed Node, использует одни и те же ключи безопасности в разных установках клиентов, что позволяет удаленным злоумышленникам выполнять произвольный код, используя эти ключи для подключения.
CVE-2013-6952Прошивка Belkin WeMo Home Automation до версии 3949 имеет жестко заданный ключ GPG, что упрощает удаленным злоумышленникам подделку обновлений прошивки и выполнение произвольного кода через специально созданные подписанные данные.
CVE-2013-6838Неуказанный «дополнительный продукт» Enghouse Interactive Professional Services в Enghouse Interactive IVR Pro (VIP2000) 9.0.3 (rel903) при использовании OpenVZ и резервной настройки использует один и тот же закрытый ключ SSH в разных установках клиентов, что позволяет удаленным злоумышленникам получить привилегии, используя знание этого ключа.
CVE-2013-3712SUSE Studio Onsite 1.3.x до версии 1.3.6 и SUSE Studio Extension для System z 1.3 используют "статические" секретные токены, что имеет неуказанные последствия и векторы.
CVE-2013-0137Конфигурация по умолчанию устройства Digital Alert Systems DASDEC EAS до версии 2.0-2 и устройства Monroe Electronics R189 One-Net EAS до версии 2.0-2 содержит известный закрытый ключ SSH, что упрощает удаленным злоумышленникам получение root-доступа и подмену предупреждений через сеанс SSH.
CVE-2012-2405Gallery 2 до версии 2.3.2 и 3 до версии 3.0.3 неправильно реализует шифрование, что имеет неуказанное воздействие и векторы атак, что является другой уязвимостью, чем CVE-2012-1113.
CVE-2011-5123Компонент Antivirus в Comodo Internet Security до 5.3.175888.1227 не проверяет, были ли отозваны X.509 сертификаты в подписанных исполняемых файлах, что имеет неизвестные последствия и векторы удаленной атаки.
CVE-2011-5121Компонент Antivirus в Comodo Internet Security до 5.3.175888.1227 неправильно проверяет, отозваны ли неуказанные X.509 сертификаты, что имеет неизвестные последствия и векторы удаленной атаки.
CVE-2011-4684Opera до версии 11.60 неправильно обрабатывает отзыв сертификатов, что имеет неуказанное воздействие и удаленные векторы атак, связанные с "краевыми случаями".
CVE-2011-2344Android Picasa в Android 3.0 и 2.x до 2.3.4 использует HTTP-сессию в виде открытого текста при передаче authToken, полученного от ClientLogin, что позволяет удаленным злоумышленникам получить привилегии и доступ к частным изображениям и веб-альбомам, перехватывая токен из соединений с picasaweb.google.com.
CVE-2011-0935Функциональность PKI в Cisco IOS 15.0 и 15.1 не предотвращает постоянное кэширование определенных открытых ключей, что позволяет удаленным злоумышленникам обходить аутентификацию и оказывать другое неуказанное воздействие, используя отношения IKE peer, в которых ключ ранее был действительным, но позже был отозван, также известная как Bug ID CSCth82164, что является другой уязвимостью, чем CVE-2010-4685.
CVE-2010-2978Cisco Unified Wireless Network (UWN) Solution 7.x до 7.0.98.0 не использует адекватный алгоритм дайджеста сообщений для самозаверенного сертификата, что позволяет удаленным злоумышленникам обходить предполагаемые ограничения доступа через векторы, связанные с коллизиями, также известные как Bug ID CSCtd67660.
CVE-2010-2468S2 Security NetBox 2.x и 3.x, используемый в Linear eMerge 50 и 5000 и Sonitrol eAccess, использует слабый алгоритм хеширования для хранения пароля администратора, что упрощает злоумышленникам, зависящим от контекста, получение привилегированного доступа путем восстановления открытого текста этого пароля.
CVE-2009-1477Веб-интерфейсы https на IP KVM-переключателе ATEN KH1516i с микропрограммой 1.0.063, IP KVM-переключателе KN9116 с микропрограммой 1.1.104 и блоке управления питанием PN9108 имеют жестко запрограммированный закрытый ключ SSL, что облегчает удаленным злоумышленникам расшифровывать сеансы https, извлекая этот ключ из собственного переключателя, а затем перехватывая сетевой трафик к переключателю, принадлежащему другому клиенту.
CVE-2009-1473(1) Windows и (2) Java-клиенты для IP KVM-переключателя ATEN KH1516i с микропрограммой 1.0.063 и IP KVM-переключателя KN9116 с микропрограммой 1.1.104 неправильно используют криптографию RSA для согласования симметричного ключа сеанса, что облегчает удаленным злоумышленникам (a) расшифровывать сетевой трафик или (b) проводить атаки "человек посередине", повторяя неуказанные "вычисления на стороне клиента".