GnuTLS の libgnutls の lib/gnutls_pk.c における証明書上の署名を偽装される脆弱性
| Title |
GnuTLS の libgnutls の lib/gnutls_pk.c における証明書上の署名を偽装される脆弱性
|
| Summary |
GnuTLS の libgnutls の lib/gnutls_pk.c は、DSA 鍵の替わりに DSA 構造内に格納された RSA 鍵を生成するため、証明書上の署名を偽装される脆弱性が存在します。
|
| Possible impacts |
第三者により、無効な DSA 鍵が活用されることで、証明書上の署名を偽装される可能性があります。 |
| Solution |
ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 |
| Publication Date |
April 20, 2009, midnight |
| Registration Date |
June 26, 2012, 4:10 p.m. |
| Last Update |
June 26, 2012, 4:10 p.m. |
|
CVSS2.0 : 危険
|
| Score |
7.5
|
| Vector |
AV:N/AC:L/Au:N/C:P/I:P/A:P |
Affected System
| GNU Project |
|
GnuTLS 2.5.0 から 2.6.5
|
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
Change Log
| No |
Changed Details |
Date of change |
| 0 |
[2012年06月26日]
掲載 |
Feb. 17, 2018, 10:37 a.m. |
NVD Vulnerability Information
CVE-2009-1416
| Summary |
lib/gnutls_pk.c in libgnutls in GnuTLS 2.5.0 through 2.6.5 generates RSA keys stored in DSA structures, instead of the intended DSA keys, which might allow remote attackers to spoof signatures on certificates or have unspecified other impact by leveraging an invalid DSA key.
|
| Publication Date |
May 1, 2009, 5:30 a.m. |
| Registration Date |
Jan. 29, 2021, 1:17 p.m. |
| Last Update |
June 10, 2009, 2:29 p.m. |
Affected software configurations
| Configuration1 |
or higher |
or less |
more than |
less than |
| cpe:2.3:a:gnu:gnutls:2.5.0:*:*:*:*:*:*:* |
|
|
|
|
| cpe:2.3:a:gnu:gnutls:2.6.0:*:*:*:*:*:*:* |
|
|
|
|
| cpe:2.3:a:gnu:gnutls:2.6.1:*:*:*:*:*:*:* |
|
|
|
|
| cpe:2.3:a:gnu:gnutls:2.6.2:*:*:*:*:*:*:* |
|
|
|
|
| cpe:2.3:a:gnu:gnutls:2.6.3:*:*:*:*:*:*:* |
|
|
|
|
| cpe:2.3:a:gnu:gnutls:2.6.4:*:*:*:*:*:*:* |
|
|
|
|
| cpe:2.3:a:gnu:gnutls:2.6.5:*:*:*:*:*:*:* |
|
|
|
|
Related information, measures and tools
Common Vulnerabilities List