Etusivu Tutki Apua
Kirjaudu sisään
OWEALs
/
ucert
peilaus alkaen https://git.openwrt.org/project/ucert.git
2
0
Fork 0
Tiedostot Ongelmat 0 Wiki
Selaa lähdekoodia

fix certificate blob parsing vulnerability by using blob_parse_untrusted

blob_parse expects blobs from trusted inputs, but in this case it can be
supplied with possibly malicious certificates from untrusted inputs as
well, so in order to prevent such conditions, switch to
blob_parse_untrusted which should hopefully handle such inputs
appropriately.

Signed-off-by: Petr Štetiar <ynezz@true.cz>
Petr Štetiar 4 vuotta sitten
vanhempi
19a7225ac0
commit
14a279411c
1 muutettua tiedostoa jossa 1 lisäystä ja 1 poistoa
Jaettu näkymä Näytä diff tilastot
  1. 1 1
      ucert.c

+ 1 - 1
ucert.c
Näytä tiedosto 

@@ -154,7 +154,7 @@ static int cert_load(const char *certfile, struct list_head *chain) {
 
 
 	bufpt = (struct blob_attr *)filebuf;
 
 	do {
 
-		pret = blob_parse(bufpt, certtb, cert_policy, CERT_ATTR_MAX);
 
+		pret = blob_parse_untrusted(bufpt, len, certtb, cert_policy, CERT_ATTR_MAX);
 
 		if (pret <= 0)
 
 			/* no attributes found */
 
 			break;