BUGTRAQ ID: 30062
CVE ID:CVE-2008-1676
CNCVE ID:CNCVE-20081676
Red Hat Certificate System用于确保用户的身份以及通讯的私密性的证书系统。
Red Hat Certificate System在处理证书签名请求(csr)时存在缺陷,远程攻击者可以利用漏洞绕过安全策略进行中间人等攻击。
在证书签名请求中处理扩展存在缺陷,即使在证书授权档案文件中强制定义,所有请求扩展也会增加到发布的证书中。即使CA配置成禁止使用次级CA证书的情况下,攻击者可以针对次级CA证书发布一个CSR。这可导致绕过安全策略,放大针对使用RedHat证书管理的可信证书授权用户的中间人攻击威胁。
RedHat Certificate Server 7.3
RedHat Certificate Server 7.2
可参考如下安全公告获得补丁信息:
<a href=http://rhn.redhat.com/errata/RHSA-2008-0500.html target=_blank>http://rhn.redhat.com/errata/RHSA-2008-0500.html</a>
<a href=http://rhn.redhat.com/errata/RHSA-2008-0577.html target=_blank>http://rhn.redhat.com/errata/RHSA-2008-0577.html</a>
京公网安备 11010502034610号
暂无评论