Уязвимость в Expat, связанная с отсутствием вызова "XML_SetHashSalt" или использованием нулевого значения для инициализации хеш-соли, облегчающая преодоление криптографических механизмов защиты
Описание
Обнаружена уязвимость в Expat, которая возникает при использовании парсера, где не был вызван метод XML_SetHashSalt или был передан нулевой seed (начальное значение). Это облегчает злоумышленникам, зависящим от контекста, преодоление криптографических механизмов защиты через векторы атаки, связанные с использованием функции srand.
Тип уязвимости
Снижение эффективности криптографической защиты
Затронутые пакеты
| Платформа | Пакет | Состояние | Рекомендация | Релиз |
|---|---|---|---|---|
| Red Hat Directory Server 8 | expat | Under investigation | ||
| Red Hat Enterprise Linux 5 | expat | Will not fix | ||
| Red Hat Enterprise Linux 5 | firefox | Not affected | ||
| Red Hat Enterprise Linux 5 | thunderbird | Not affected | ||
| Red Hat Enterprise Linux 5 | xmlrpc-c | Will not fix | ||
| Red Hat Enterprise Linux 5 | xulrunner | Not affected | ||
| Red Hat Enterprise Linux 6 | compat-expat1 | Not affected | ||
| Red Hat Enterprise Linux 6 | expat | Will not fix | ||
| Red Hat Enterprise Linux 6 | firefox | Not affected | ||
| Red Hat Enterprise Linux 6 | thunderbird | Not affected |
Показывать по
Дополнительная информация
Статус:
EPSS
4.3 Medium
CVSS2
Связанные уязвимости
Expat, when used in a parser that has not called XML_SetHashSalt or passed it a seed of 0, makes it easier for context-dependent attackers to defeat cryptographic protection mechanisms via vectors involving use of the srand function.
Expat, when used in a parser that has not called XML_SetHashSalt or passed it a seed of 0, makes it easier for context-dependent attackers to defeat cryptographic protection mechanisms via vectors involving use of the srand function.
Expat, when used in a parser that has not called XML_SetHashSalt or pa ...
Expat, when used in a parser that has not called XML_SetHashSalt or passed it a seed of 0, makes it easier for context-dependent attackers to defeat cryptographic protection mechanisms via vectors involving use of the srand function.
EPSS
4.3 Medium
CVSS2