nCipher payShield SPP库错误请求验证漏洞

漏洞信息详情

nCipher payShield SPP库错误请求验证漏洞

• CNNVD编号：CNNVD-200402-054
• 危害等级： 高危
  
  
• CVE编号：
  CVE-2004-0063
  
• 漏洞类型：
  
  
  其他
  
• 发布时间：
  
  2004-01-14
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2005-05-13
  
• 厂        商：
  
  ncipher
• 漏洞来源：
  nCipher Security A…

PayShield HSM是nCipher开发的用于信用卡付费机制专用安全交易加速器。
PayShield SPP库存在漏洞，允许使用此库实现的应用程序验证有害的请求。
当一命令通过SPP库发送，库会查询它的HSMs以确保他们能应答和正确工作。当这个检查触发及成功，对起始命令的应答会一直是Status_OK，而不去理会HSM返回的状态代码。
虽然错误消息会打印在payShield日志中，但这个错误却没有和调用的函数进行交流。
此问题只存在于主机端库和主机端应用程序中。已经存在的payShield安装和密钥不会被破坏，还可以用于新的软件中。这个漏洞并且不泄露任何关于数据和密钥的信息，只导致错误的验证。
如果命令被处理，模块查询被触发时以往返回非0状态代码，这个状态可能会丢失。
如一个非法PIN验证尝试从HSM返回Status_VerifyFailed，但是库调用SPP_VerifyPVV()会返回Status_OK，而使PIN看起来是合法的。如果攻击者能对payShield应用程序进行唯一访问，可使用非法请求进行欺骗然后最终获得\’\’OK\’\’应答。

厂商补丁：
nCipher
——-
建议用户使用新的库重新连接应用软件，可以联系供应商获得相关信息：

http://www.ncipher.com/” target=”_blank”>
http://www.ncipher.com/

来源: www.ncipher.com
链接:http://www.ncipher.com/support/advisories/advisory8_payshield.html

来源: XF
名称: payshield-incorrect-request-verification(14832)
链接:http://xforce.iss.net/xforce/xfdb/14832

来源: BID
名称: 9422
链接:http://www.securityfocus.com/bid/9422

来源: OSVDB
名称: 3537
链接:http://www.osvdb.org/3537

来源: BUGTRAQ
名称: 20040114 nCipher Advisory #8: payShield library may verify bad requests
链接:http://marc.theaimsgroup.com/?l=bugtraq&m=107411819503569&w=2