漏洞信息详情
yubihsm-shell 输入验证错误漏洞
- CNNVD编号:CNNVD-202010-892 <!--
- 危害等级: 高危-->
- 危害等级: 高危
- CVE编号: CVE-2020-24388
- 漏洞类型: 输入验证错误
- 发布时间: 2020-10-19
- 威胁类型: 远程
- 更新时间: 2020-10-30
- 厂 商:
- 漏洞来源:
-
漏洞简介
yubihsm-shell是个人开发者的一个可与 YubiHSM 2 交互的组件。该组件大多存在于与 YubiHSM 2 交互的应用中,面向用户和程序级别的交互。
yubihsm-shell 2.0.2版本存在安全漏洞,该漏洞源于_send_secure_msg()函数不验证从设备接收到的消息的嵌入长度字段。这可能导致过大的memcpy()调用,从而导致正在运行的进程崩溃。攻击者可利用该漏洞用来导致拒绝服务。
漏洞公告
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://www.yubico.com/support/security-advisories/ysa-2020-06/
参考网址
来源:MISC
链接:https://github.com/Yubico/yubihsm-shell
来源:FEDORA
链接:https://lists.fedoraproject.org/archives/list/[email protected]/message/Y77KQJW76M3PFOBFLBT6DLH2NWHYRNZO/
来源:MISC
链接:https://blog.inhq.net/posts/yubico-libyubihsm-vuln/
来源:MISC
链接:https://developers.yubico.com/yubihsm-shell/
来源:MISC
链接:https://www.yubico.com/support/security-advisories/ysa-2020-06/
来源:vigilance.fr
链接:https://vigilance.fr/vulnerability/yubihsm-shell-buffer-overflow-via-send-secure-msg-33731
来源:nvd.nist.gov
链接:https://nvd.nist.gov/vuln/detail/CVE-2020-24388
受影响实体
暂无
补丁
- yubihsm-shell 安全漏洞的修复措施<!--2020-10-19-->
还没有评论,来说两句吧...