Podatność CVE-2016-0270


Publikacja: 2017-02-08

Opis:
IBM Domino 9.0.1 Fix Pack 3 Interim Fix 2 through 9.0.1 Fix Pack 5 Interim Fix 1, when using TLS and AES GCM, uses random nonce generation, which makes it easier for remote attackers to obtain the authentication key and spoof data by leveraging the reuse of a nonce in a session and a "forbidden attack." NOTE: this CVE has been incorrectly used for GCM nonce reuse issues in other products; see CVE-2016-10213 for the A10 issue, CVE-2016-10212 for the Radware issue, and CVE-2017-5933 for the Citrix issue.

Typ:

CWE-200

(Information Exposure)

CVSS2 => (AV:N/AC:M/Au:N/C:P/I:N/A:N)

Ogólna skala CVSS
Znaczenie
Łatwość wykorzystania
4.3/10
2.9/10
8.6/10
Wymagany dostęp
Złożoność ataku
Autoryzacja
Zdalny
Średnia
Nie wymagana
Wpływ na poufność
Wpływ na integralność
Wpływ na dostępność
Częściowy
Brak
Brak
Affected software
IBM -> Notes 
IBM -> Client application access 
IBM -> Domino 

 Referencje:
http://www-01.ibm.com/support/docview.wss?uid=swg21979604
http://www-01.ibm.com/support/docview.wss?uid=swg21979669
http://www-01.ibm.com/support/docview.wss?uid=swg21979673
http://www.securityfocus.com/bid/96062
http://www.securitytracker.com/id/1037795
https://github.com/nonce-disrespect/nonce-disrespect
https://support.citrix.com/article/CTX220329

Copyright 2024, cxsecurity.com

 

Back to Top