Botan — это библиотека шифрования C++. Начиная с версии 3.0.0 и до версии 3.11.0, во время проверки пути X509, ответы OCSP проверялись на наличие соответствующего кода состояния, но критически не проверялась подпись самого ответа OCSP. Эта проблема исправлена в версии 3.11.0.
Показать оригинальное описание (EN)
Botan is a C++ cryptography library. From version 3.0.0 to before version 3.11.0, during X509 path validation, OCSP responses were checked for an appropriate status code, but critically omitted verifying the signature of the OCSP response itself. This issue has been patched in version 3.11.0.
Характеристики атаки
Способ атаки
По сети
Атака возможна удалённо
Сложность
Высокая
Сложно эксплуатировать
Нужны права
Не требуются
Права не нужны
Участие пользователя
Не требуется
Не нужно действие пользователя
Последствия
Конфиденциальность
Нет
Нет утечки данных
Целостность
Высокое
Полная модификация данных
Доступность
Нет
Нет нарушения работы
Строка CVSS v3.1