安全研究

安全漏洞
nCipher payShield SPP库错误请求验证漏洞

发布日期:2004-01-14
更新日期:2004-01-30

受影响系统:
nCipher payShield SPP library 1.6.18
nCipher payShield SPP library 1.5.18
nCipher payShield SPP library 1.3.12
描述:
BUGTRAQ  ID: 9422
CVE(CAN) ID: CVE-2004-0063

PayShield HSM是nCipher开发的用于信用卡付费机制专用安全交易加速器。

PayShield SPP库存在漏洞,允许使用此库实现的应用程序验证有害的请求。

当一命令通过SPP库发送,库会查询它的HSMs以确保他们能应答和正确工作。当这个检查触发及成功,对起始命令的应答会一直是Status_OK,而不去理会HSM返回的状态代码。

虽然错误消息会打印在payShield日志中,但这个错误却没有和调用的函数进行交流。

此问题只存在于主机端库和主机端应用程序中。已经存在的payShield安装和密钥不会被破坏,还可以用于新的软件中。这个漏洞并且不泄露任何关于数据和密钥的信息,只导致错误的验证。

如果命令被处理,模块查询被触发时以往返回非0状态代码,这个状态可能会丢失。

如一个非法PIN验证尝试从HSM返回Status_VerifyFailed,但是库调用SPP_VerifyPVV()会返回Status_OK,而使PIN看起来是合法的。如果攻击者能对payShield应用程序进行唯一访问,可使用非法请求进行欺骗然后最终获得'OK'应答。

<*来源:nCipher Security Advisory
  
  链接:http://www.ncipher.com/support/advisories/advisory8_payshield.html
*>

建议:
厂商补丁:

nCipher
-------
建议用户使用新的库重新连接应用软件,可以联系供应商获得相关信息:

http://www.ncipher.com/

浏览次数:2856
严重程度:0(网友投票)
本安全漏洞由绿盟科技翻译整理,版权所有,未经许可,不得转载
绿盟科技给您安全的保障