CVE-2018-4849
Zranitelnost byla zjištěna v programu Siveillance VMS Video for Android (Všechny verze & lt; V12.1a (2018 R1)), Siveillance VMS Video pro iOS (všechny verze & lt; V12.1a (2018 R1)). Nesprávné ověření certifikátu mohl by útočníkovi v prostředí privilegované sítě umožnit čtení dat z dat a zapisovat data do šifrovaného komunikačního kanálu mezi aplikace a serveru. Zranitelnost zabezpečení může být zneužita útočník v privilegované pozici sítě, která umožňuje zachytit komunikační kanál mezi příslušnou aplikací a serverem (např jako Man-in-the-Middle). Navíc útočník musí být schopen generovat certifikát, který je výsledkem ověřovacího algoritmu v a kontrolní součet shodný s důvěryhodným certifikátem. Úspěšné vykořisťování nevyžaduje žádnou interakci uživatele. Zranitelnost by mohla umožnit čtení data z dat a zapisování dat do šifrovaného komunikačního kanálu mezi aplikací a serverem, což ovlivňuje komunikaci důvěrnosti a bezúhonnosti. V době poradní publikace č bylo známo veřejné zneužití této bezpečnostní zranitelnosti. Siemens potvrzuje bezpečnostní zranitelnost a poskytuje zmírnění vyřešit problém zabezpečení.
CONFIRM: https://cert-portal.siemens.com/productcert/pdf/ssa-468514.pdf
BID: http://www.securityfocus.com/bid/104105
CVE: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-4849
published: 3. 5. 2018