nCipher payShield SPP库错误请求验证漏洞

nCipher payShield SPP库错误请求验证漏洞

漏洞ID 1202067 漏洞类型 其他
发布时间 2004-01-14 更新时间 2005-05-13
图片[1]-nCipher payShield SPP库错误请求验证漏洞-安全小百科CVE编号 CVE-2004-0063
图片[2]-nCipher payShield SPP库错误请求验证漏洞-安全小百科CNNVD-ID CNNVD-200402-054
漏洞平台 N/A CVSS评分 7.5
|漏洞来源
http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-200402-054
|漏洞详情
PayShieldHSM是nCipher开发的用于信用卡付费机制专用安全交易加速器。PayShieldSPP库存在漏洞,允许使用此库实现的应用程序验证有害的请求。当一命令通过SPP库发送,库会查询它的HSMs以确保他们能应答和正确工作。当这个检查触发及成功,对起始命令的应答会一直是Status_OK,而不去理会HSM返回的状态代码。虽然错误消息会打印在payShield日志中,但这个错误却没有和调用的函数进行交流。此问题只存在于主机端库和主机端应用程序中。已经存在的payShield安装和密钥不会被破坏,还可以用于新的软件中。这个漏洞并且不泄露任何关于数据和密钥的信息,只导致错误的验证。如果命令被处理,模块查询被触发时以往返回非0状态代码,这个状态可能会丢失。如一个非法PIN验证尝试从HSM返回Status_VerifyFailed,但是库调用SPP_VerifyPVV()会返回Status_OK,而使PIN看起来是合法的。如果攻击者能对payShield应用程序进行唯一访问,可使用非法请求进行欺骗然后最终获得’OK’应答。
|参考资料

来源:www.ncipher.com
链接:http://www.ncipher.com/support/advisories/advisory8_payshield.html
来源:XF
名称:payshield-incorrect-request-verification(14832)
链接:http://xforce.iss.net/xforce/xfdb/14832
来源:BID
名称:9422
链接:http://www.securityfocus.com/bid/9422
来源:OSVDB
名称:3537
链接:http://www.osvdb.org/3537
来源:BUGTRAQ
名称:20040114nCipherAdvisory#8:payShieldlibrarymayverifybadrequests
链接:http://marc.theaimsgroup.com/?l=bugtraq&m;=107411819503569&w;=2

相关推荐: KDE命令执行漏洞

KDE命令执行漏洞 漏洞ID 1207258 漏洞类型 未知 发布时间 1998-11-18 更新时间 1998-11-18 CVE编号 CVE-1999-0781 CNNVD-ID CNNVD-199811-016 漏洞平台 N/A CVSS评分 7.2 |…

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享