 描述
产品不检查或不正确检查证书的撤销状态,这可能会导致使用证书身份被识破了。
扩展描述
检查证书撤销不当是一个远比相关证书失败更严重的缺陷。这是因为任何撤销证书的使用几乎是恶意的。证书撤销的最常见原因是妥协的系统问题,结果没有合法服务器将使用撤销证书,除非他们非常不同步。
的关系
模式的介绍
 不同模式的引入提供了信息如何以及何时可以纳入这一弱点。生命周期的阶段识别点的介绍可能发生,而相关的报告提供了一个典型的场景介绍在给定的阶段。
| 阶段 |
请注意 |
| 实现 |
当产品使用证书寄,开发人员可能不正确验证证书的所有相关组件之前寄证书。这可以使它困难或昂贵的测试后,将完成。 |
| 实现 |
实现:造成这一弱点在建筑安全策略的实施。 |
常见的后果
这个表指定不同的个人相关后果的弱点。标识应用程序范围的安全领域侵犯,而影响了负面的技术影响,如果敌人成功利用这个弱点。可能提供的信息如何可能的具体结果预计将看到列表中相对于其它后果。例如,可能会有高可能性,缺点将被利用来实现一定的影响,但较低的可能性,它将被利用来实现不同的影响。
| 范围 |
影响 |
可能性 |
访问控制
|
信任可能会分配到一个实体谁不是谁声称是。 |
|
完整性
其他
|
数据从一个不可信的(甚至恶意)源可能被整合。 |
|
保密
|
数据可能会向一个实体披露冒充一个可信实体,导致信息披露。 |
|
利用的可能性
示范例子
示例1
下面的OpenSSL代码确保有一个证书在继续之前执行。
如果(cert = SSL_get_peer_certificate (ssl)) {
因为这段代码不使用ssl_get_verify_result()检查证书,它可以接受证书被吊销(X509_V_ERR_CERT_REVOKED)。产品可以与恶意的主机进行通信。
观察到的例子
| 参考 |
描述 |
|
|
LDAP-over-SSL实现并不检查证书撤销列表(CRL),允许使用撤销证书欺骗。 |
|
|
操作系统不会检查证书撤销列表(CRL)在某些情况下,允许使用撤销证书欺骗。 |
|
|
杀毒软件不检查证书是否签署可执行文件已被撤消。 |
|
|
Web浏览器不检查任何中间证书撤销。 |
|
|
链:Ruby模块OCSP曲解响应,防止检测吊销证书。 |
|
|
链:回答的不正确的解析OCSP急救员允许绕过使用撤销证书。 |
|
|
路由器可以永久缓存特定公共密钥,这将允许绕过如果证书后撤销。 |
|
|
链:操作系统的包管理器不正确检查返回值,允许绕过使用撤销证书。 |
|
|
链:语言翻译不正确检查返回值从一个OSCP函数,允许绕过使用撤销证书。 |
|
|
链:web服务组件不调用预期方法,防止一个撤销证书检查。 |
|
|
证书撤销列表不寻找某些证书。 |
|
|
产品不能访问证书撤销列表,当一个HTTP代理。 |
潜在的缓解措施
阶段:体系结构和设计
确保检查证书撤销状态。 |
实施阶段:
如果证书将被使用,确保所有相关证书之前完全验证证书的属性是固定的,包括撤销状态。 |
检测方法
自动静态分析
自动静态分析,通常被称为静态应用程序安全性测试(科协),可以找到一些实例的这个弱点分析源代码或二进制/编译后的代码,而不必执行它。通常情况下,这是通过建立一个模型的数据流和控制流,然后寻找潜在攻击模式,连接“源”与“下沉”(输入)的起源(目的地数据与外部组件交互,较低的层,如操作系统,等等)。
|
脆弱性映射笔记
用法:允许
(CWE ID可以用来映射到现实世界的漏洞) |
原因:可接受的使用 |
理由是: 这CWE条目底部的抽象级别,这是一个首选的抽象级别映射到漏洞的根本原因。 |
评论: 仔细阅读这两个名称和描述,以确保此映射是一个适当的配合。不要试图“力”映射到底层基础/变体只是遵守这首选的抽象级别。 |
分类法映射
| 映射分类名称 |
节点ID |
适合 |
映射节点名 |
| 扣 |
|
|
未能检查证书撤销 |
引用
|
|
|
迈克尔•霍华德(REF-44)大卫·勒布朗和Viega约翰。软件安全的“24宗罪”。PKI的“罪23:使用不当,尤其是SSL。”Page 347. McGraw-Hill. 2010. |
更多的信息是可用的,请编辑自定义过滤器或选择一个不同的过滤器。
|
描述
此表显示了弱点和高水平类别相关的这一弱点。这些关系被定义为ChildOf、ParentOf MemberOf,并洞察类似项目可能存在的在较高和较低的抽象级别。此外,关系如PeerOf和CanAlsoBe定义显示类似的弱点,用户可能想要探索。
相关视图”架构概念”(cwe - 1008)
