KDE KSSL в kdelibs 3.5.4, 4.2.4 и 4.3 неправильно обрабатывает символ '\0' в имени домена в поле Subject Alternative Name сертификата X.509…
KDE KSSL в kdelibs 3.5.4, 4.2.4 и 4.3 неправильно обрабатывает символ '\0' в имени домена в поле Subject Alternative Name сертификата X.509, что позволяет злоумышленникам, находящимся в середине соединения, подделывать произвольные SSL-серверы с помощью специально созданного сертификата, выданного законным центром сертификации, что является проблемой, связанной с CVE-2009-2408.
Слабости этой категории связаны с проектированием и реализацией конфиденциальности и целостности данных. Зачастую они касаются применения техник кодирования, криптографических библиотек и хэш-алгоритмов. При отсутствии должного внимания слабости этой категории способны привести к снижению качества данных.
https://cwe.mitre.org/data/definitions/310.html →Открыть в коллекции CWE →Продукт ненадлежащим образом обрабатывает нулевые байты или символы NUL при передаче данных между различными представлениями или компонентами.
https://cwe.mitre.org/data/definitions/626.html →Открыть в коллекции CWE →