В python-scciclient обнаружена ошибка при установлении HTTPS-соединения с сервером, где сертификат сервера не будет проверен. Эта проблема …
В python-scciclient обнаружена ошибка при установлении HTTPS-соединения с сервером, где сертификат сервера не будет проверен. Эта проблема открывает соединение для возможных атак Man-in-the-middle (MITM).
Продукт не проверяет или некорректно проверяет сертификат.
https://cwe.mitre.org/data/definitions/295.html →Открыть в коллекции CWE →Злоумышленник эксплуатирует слабость, возникающую вследствие применения хеш-алгоритма с низкой устойчивостью к коллизиям, для генерации запросов на подпись сертификата (CSR), содержащих блоки коллизий в разделах «подписываемых данных». Злоумышленник отправляет один CSR на подписание доверенному удостоверяющему центру, а затем использует подписанный блок для того, чтобы второй сертификат выглядел подписанным тем же удостоверяющим центром. Вследствие хеш-коллизии оба сертификата, будучи различными, дают одно и то же хеш-значение, и подписанный блок одинаково работает с обоими сертификатами. В итоге второй сертификат X.509 злоумышленника, который удостоверяющий центр никогда не видел, оказывается подписанным и верифицированным этим удостоверяющим центром.
https://capec.mitre.org/data/definitions/459.html →Открыть в коллекции CAPEC →Злоумышленник эксплуатирует криптографическую слабость в реализации алгоритма проверки подписи для генерации действительной подписи без знания ключа.
https://capec.mitre.org/data/definitions/475.html →Открыть в коллекции CAPEC →| Продукт | Вендор | Статус |
|---|---|---|
| NetworkManager | Отслеживается | |
| ansible-runner | Отслеживается | |
| ansible-runner-http | Отслеживается | |
| atomic-openshift-service-idler | Отслеживается | |
| buildah | Отслеживается | |
| butane | Отслеживается | |
| conmon | Отслеживается | |
| conmon-rs | Отслеживается | |
| console-login-helper-messages | Отслеживается | |
| container-selinux | Отслеживается | |
| containernetworking-plugins | Отслеживается | |
| containers-common | Отслеживается | |
| coreos-installer | Отслеживается | |
| cri-o | Отслеживается | |
| cri-tools | Отслеживается | |
| criu | Отслеживается | |
| crudini | Отслеживается | |
| crudini | Отслеживается | |
| crun | Отслеживается | |
| fuse-overlayfs | Отслеживается |