libtasn1 代码执行漏洞

CVE编号

CVE-2006-0645

利用情况

暂无

补丁情况

N/A

披露时间

2006-02-11
漏洞描述
(1)1.2.10之前的GnuTLS 1.2.x和1.3.4之前的1.3.x以及(2)GNU Shishi使用的0.2.18之前的微小ASN.1库(libtasn1)允许攻击者使DER解码器崩溃并可能通过无效输入引起的“越界访问”执行任意代码,如ProtoVer SSL测试套件所示。

解决建议
建议您更新当前系统或软件至最新版,完成漏洞的修复。
参考链接
http://josefsson.org/cgi-bin/viewcvs.cgi/gnutls/tests/certder.c?view=markup
http://josefsson.org/cgi-bin/viewcvs.cgi/libtasn1/NEWS?root=gnupg-mirror&view=markup
http://josefsson.org/gnutls/releases/libtasn1/libtasn1-0.2.18-from-0.2.17.patch
http://lists.gnupg.org/pipermail/gnutls-dev/2006-February/001058.html
http://lists.gnupg.org/pipermail/gnutls-dev/2006-February/001059.html
http://lists.gnupg.org/pipermail/gnutls-dev/2006-February/001060.html
http://rhn.redhat.com/errata/RHSA-2006-0207.html
http://secunia.com/advisories/18794
http://secunia.com/advisories/18815
http://secunia.com/advisories/18830
http://secunia.com/advisories/18832
http://secunia.com/advisories/18898
http://secunia.com/advisories/18918
http://secunia.com/advisories/19080
http://secunia.com/advisories/19092
http://securityreason.com/securityalert/446
http://securitytracker.com/id?1015612
http://www.debian.org/security/2006/dsa-985
http://www.debian.org/security/2006/dsa-986
http://www.gentoo.org/security/en/glsa/glsa-200602-08.xml
http://www.gleg.net/protover_ssl.shtml
http://www.mandriva.com/security/advisories?name=MDKSA-2006:039
http://www.osvdb.org/23054
http://www.redhat.com/archives/fedora-announce-list/2006-February/msg00043.html
http://www.securityfocus.com/archive/1/424538/100/0/threaded
http://www.securityfocus.com/bid/16568
http://www.trustix.org/errata/2006/0008
http://www.vupen.com/english/advisories/2006/0496
https://exchange.xforce.ibmcloud.com/vulnerabilities/24606
https://oval.cisecurity.org/repository/search/definition/oval%3Aorg.mitre.ova...
https://usn.ubuntu.com/251-1/
受影响软件情况
# 类型 厂商 产品 版本 影响面
1
运行在以下环境
应用 free_software_foundation_inc. libtasn1 0.1.0 -
运行在以下环境
应用 free_software_foundation_inc. libtasn1 0.1.1 -
运行在以下环境
应用 free_software_foundation_inc. libtasn1 0.1.2 -
运行在以下环境
应用 free_software_foundation_inc. libtasn1 0.2.0 -
运行在以下环境
应用 free_software_foundation_inc. libtasn1 0.2.1 -
运行在以下环境
应用 free_software_foundation_inc. libtasn1 0.2.10 -
运行在以下环境
应用 free_software_foundation_inc. libtasn1 0.2.11 -
运行在以下环境
应用 free_software_foundation_inc. libtasn1 0.2.12 -
运行在以下环境
应用 free_software_foundation_inc. libtasn1 0.2.13 -
运行在以下环境
应用 free_software_foundation_inc. libtasn1 0.2.14 -
运行在以下环境
应用 free_software_foundation_inc. libtasn1 0.2.15 -
运行在以下环境
应用 free_software_foundation_inc. libtasn1 0.2.16 -
运行在以下环境
应用 free_software_foundation_inc. libtasn1 0.2.17 -
运行在以下环境
应用 free_software_foundation_inc. libtasn1 0.2.2 -
运行在以下环境
应用 free_software_foundation_inc. libtasn1 0.2.3 -
运行在以下环境
应用 free_software_foundation_inc. libtasn1 0.2.4 -
运行在以下环境
应用 free_software_foundation_inc. libtasn1 0.2.5 -
运行在以下环境
应用 free_software_foundation_inc. libtasn1 0.2.6 -
运行在以下环境
应用 free_software_foundation_inc. libtasn1 0.2.7 -
运行在以下环境
应用 free_software_foundation_inc. libtasn1 0.2.8 -
运行在以下环境
应用 free_software_foundation_inc. libtasn1 0.2.9 -
CVSS3评分
7.5
  • 攻击路径
    网络
  • 攻击复杂度
  • 权限要求
  • 影响范围
    N/A
  • 用户交互
  • 可用性
    部分地
  • 保密性
    部分地
  • 完整性
    部分地
AV:N/AC:L/Au:N/C:P/I:P/A:P
CWE-ID 漏洞类型
NVD-CWE-Other
阿里云安全产品覆盖情况