![[CERT-SE]](/static/img/cert-se.svg)
![[MSB]](/static/img/msb.svg)
Uppdaterad | Publicerad
SR12-135 RSA - RSA BSAFE SSL-C innehåller flera sårbarheten
Flera sårbarheter har upptäckts i RSA BSAFE SSL-C. Effektivt utnyttjande kan leda till att en angripare kan kapa en session och i värsta dekryptera känslig information. En buffertöverflödesattack är också möjlig, vilket innebär att godtycklig kod kan köras på det sårbara systemet.
Problembeskrivning
CVE-referens: CVE-2011-3389 CVE-2012-2110 CVE-2012-2131
Sårbarheterna i RSA BSAFE SSL-C listas nedan:
1.) En så kallad BEAST-sårbarhet (Browser Exploit Against SSL/TLS) (CVE-2011-3389) som baseras på en tidigare känd sårbarhet i SSLv3 samt TLS v1.0. Orsaken är brister i hur Initialization Vector (IV) genereras.
2.) En buffertflödessårbarhet (CVE-2012-2110 CVE-2012-2131) som orsakas av brister i tolkning av "integer"-data vilket kan leda till en lyckad buffertöverflödesattack där angriparen kan köra egen kod på det sårbara systemet.
RSA rekommenderar uppgradering till version 2.8.6 så fort som möjligt.
Påverkade versioner
- Versioner före 2.8.6
Mer information och programrättningar
http://archives.neohapsis.com/archives/bugtraq/2012-09/att-0046/ESA-2012-029.txt