漏洞标题
N/A
漏洞描述信息
在axTLS版本2.1.3之前的x509.c中的sig_verify()函数中,PKCS#1 v1.5签名验证 blindly信任ASN.1结构中的声明长度。因此,当使用较小的公共因子时,远程攻击者可以故意生成签名(并将其附加到X.509证书上),诱导非法内存访问并崩溃验证器。
CVSS信息
CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:H/A:H
漏洞类别
N/A
漏洞标题
N/A
漏洞描述信息
In sig_verify() in x509.c in axTLS version 2.1.3 and before, the PKCS#1 v1.5 signature verification blindly trusts the declared lengths in the ASN.1 structure. Consequently, when small public exponents are being used, a remote attacker can generate purposefully crafted signatures (and put them on X.509 certificates) to induce illegal memory access and crash the verifier.
CVSS信息
N/A
漏洞类别
N/A
漏洞标题
axTLS 安全漏洞
漏洞描述信息
axTLS是一款高度可配置的客户端/服务器TLS(安全传输层协议)库。 axTLS 2.1.3及之前的版本中的x509.c文件的‘sig_verify()’函数存在安全漏洞,该漏洞源于PKCS#1 v1.5数字签名验证盲目的信任ASN.1结构中的声明长度。远程攻击者可利用该漏洞伪造数字签名。
CVSS信息
N/A
漏洞类别
授权问题