Podatność CVE-2016-1494
Publikacja: 2016-01-13

Opis:
The verify function in the RSA package for Python (Python-RSA) before 3.3 allows attackers to spoof signatures with a small public exponent via crafted signature padding, aka a BERserk attack.

Typ:

CWE-20

 (Improper Input Validation)

CVSS2 => (AV:N/AC:L/Au:N/C:N/I:P/A:N)

Ogólna skala CVSS
Znaczenie
Łatwość wykorzystania
5/10
2.9/10
10/10
Wymagany dostęp
Złożoność ataku
Autoryzacja
Zdalny
Niska
Nie wymagana
Wpływ na poufność
Wpływ na integralność
Wpływ na dostępność
Brak
Częściowy
Brak
Affected software
Python -> Python 
Python -> RSA 
Opensuse -> LEAP 
Opensuse -> Opensuse 
Fedoraproject -> Fedora 

 Referencje:
http://lists.fedoraproject.org/pipermail/package-announce/2016-January/175897.html
http://lists.fedoraproject.org/pipermail/package-announce/2016-January/175942.html
http://lists.opensuse.org/opensuse-updates/2016-01/msg00032.html
http://www.openwall.com/lists/oss-security/2016/01/05/1
http://www.openwall.com/lists/oss-security/2016/01/05/3
http://www.securityfocus.com/bid/79829
https://bitbucket.org/sybren/python-rsa/pull-requests/14/security-fix-bb06-attack-in-verify-by/diff
https://blog.filippo.io/bleichenbacher-06-signature-forgery-in-python-rsa/
Copyright 2024, cxsecurity.com

 

Back to Top