Podatność CVE-2001-0950
Publikacja: 2001-12-04   Modyfikacja: 2012-02-12

Opis:
ValiCert Enterprise Validation Authority (EVA) Administration Server 3.3 through 4.2.1 uses insufficiently random data to (1) generate session tokens for HSMs using the C rand function, or (2) generate certificates or keys using /dev/urandom instead of another source which blocks when the entropy pool is low, which could make it easier for local or remote attackers to steal tokens or certificates via brute force guessing.

Typ:

CWE-Other

CVSS2 => (AV:N/AC:L/Au:N/C:P/I:P/A:P)

Ogólna skala CVSS
Znaczenie
Łatwość wykorzystania
7.5/10
6.4/10
10/10
Wymagany dostęp
Złożoność ataku
Autoryzacja
Zdalny
Niska
Nie wymagana
Wpływ na poufność
Wpływ na integralność
Wpływ na dostępność
Częściowy
Częściowy
Częściowy
Affected software
Valicert -> Enterprise validation authority 

 Referencje:
http://marc.info/?l=bugtraq&m=100749428517090&w=2
http://www.securityfocus.com/bid/3618
http://www.securityfocus.com/bid/3620
http://www.valicert.com/support/security_advisory_eva.html
https://exchange.xforce.ibmcloud.com/vulnerabilities/7651
https://exchange.xforce.ibmcloud.com/vulnerabilities/7653
Copyright 2024, cxsecurity.com

 

Back to Top