OpenSSL PKCS填充伪造RSA签名漏洞

admin

0
文章

0
评论

2022-07-22 07:56:44 CNNVD漏洞来源：ZONE.CI 全球网 0 阅读模式

漏洞信息详情

OpenSSL PKCS填充伪造RSA签名漏洞

CNNVD编号：CNNVD-200609-270
危害等级：低危
CVE编号： CVE-2006-4340
漏洞类型：输入验证
发布时间： 2001-10-16
威胁类型：远程
更新时间： 2006-11-10
厂商： mozilla
漏洞来源： Daniel Bleichenbac...

漏洞简介

OpenSSL是OpenSSL团队开发的一个开源的能够实现安全套接层（SSL v2/v3）和安全传输层（TLS v1）协议的通用加密库，它支持多种加密算法，包括对称密码、哈希算法、安全散列算法等。

OpenSSL在验证PKCS ＃1 v1.5签名时存在错误，攻击者可能利用此漏洞伪造签名。

如果使用了有指数3的RSA密钥的话，攻击者就可以伪造由该密钥签发的PKCS ＃1 v1.5签名。如果没有检查签名的RSA幂运算结果中的额外数据的话，这种实现就可能错误的验证证书，导致建立非授权的信任关系。

漏洞公告

目前厂商已经发布了升级补丁以修复这个安全问题，补丁下载链接：

http://www.debian.org/security/2005/dsa-1174

http://lwn.net/Alerts/199691

http://lwn.net/Alerts/198829/?format=printable

http://lwn.net/Alerts/199692

http://lwn.net/Alerts/199693/?format=printable

ftp://patches.sgi.com/support/free/security/advisories/20060901-01-P.asc

http://sunsolve.sun.com/search/printfriendly.do?assetkey=1-26-102722-1

http://security.gentoo.org/glsa/glsa-200610-06.xml

参考网址

来源: US-CERT

名称: TA06-312A

链接:http://www.us-cert.gov/cas/techalerts/TA06-312A.HTML

来源: REDHAT

名称: RHSA-2006:0677

链接:http://www.redhat.com/support/errata/RHSA-2006-0677.HTML

来源: REDHAT

名称: RHSA-2006:0676

链接:http://www.redhat.com/support/errata/RHSA-2006-0676.HTML

来源: SECUNIA

名称: 21949

链接:http://secunia.com/advisories/21949

来源: SECUNIA

名称: 21906

链接:http://secunia.com/advisories/21906

来源: DEBIAN

名称: DSA-1191

链接:http://www.us.debian.org/security/2006/dsa-1191

来源: UBUNTU

名称: USN-361-1

链接:http://www.ubuntu.com/usn/usn-361-1

来源: UBUNTU

名称: USN-354-1

链接:http://www.ubuntu.com/usn/usn-354-1

来源: UBUNTU

名称: USN-352-1

链接:http://www.ubuntu.com/usn/usn-352-1

来源: UBUNTU

名称: USN-351-1

链接:http://www.ubuntu.com/usn/usn-351-1

来源: UBUNTU

名称: USN-350-1

链接:http://www.ubuntu.com/usn/usn-350-1

来源: REDHAT

名称: RHSA-2006:0675

链接:http://www.redhat.com/support/errata/RHSA-2006-0675.HTML

来源: SUSE

名称: SUSE-SA:2006:055

链接:http://www.novell.com/linux/security/advisories/2006_55_ssl.HTML

来源: SUSE

名称: SUSE-SA:2006:054

链接:http://www.novell.com/linux/security/advisories/2006_54_mozilla.HTML

来源: www.mozilla.org

链接:http://www.mozilla.org/security/announce/2006/mfsa2006-60.HTML

来源: MISC

链接:http://www.matasano.com/log/469/many-rsa-signatures-may-be-forgeable-in-openssl-and-elsewhere/

来源: MLIST

名称: [ietf-openpgp] 20060827 Bleichenbacher's RSA signature forgery based on implementation error

链接:http://www.imc.org/ietf-openpgp/mail-archive/msg14307.HTML

来源: GENTOO

名称: GLSA-200610-06

链接:http://www.gentoo.org/security/en/glsa/glsa-200610-06.xml

来源: VUPEN

名称: ADV-2006-3899

链接:http://www.frsirt.com/english/advisories/2006/3899

来源: VUPEN

名称: ADV-2006-3622

链接:http://www.frsirt.com/english/advisories/2006/3622

来源: VUPEN

名称: ADV-2006-3617

链接:http://www.frsirt.com/english/advisories/2006/3617

来源: DEBIAN

名称: DSA-1192

链接:http://www.debian.org/security/2006/dsa-1192

来源: support.avaya.com

链接:http://support.avaya.com/elmodocs2/security/ASA-2006-224.htm

来源: SUNALERT

名称: 102648

链接:http://sunsolve.sun.com/search/document.do?assetkey=1-26-102648-1

来源: SECTRACK

名称: 1016860

链接:http://securitytracker.com/id?1016860

来源: SECTRACK

名称: 1016859

链接:http://securitytracker.com/id?1016859

来源: SECTRACK

名称: 1016858

链接:http://securitytracker.com/id?1016858

来源: GENTOO

名称: GLSA-200610-01

链接:http://security.gentoo.org/glsa/glsa-200610-01.xml

来源: GENTOO

名称: GLSA-200609-19

链接:http://security.gentoo.org/glsa/glsa-200609-19.xml

来源: SECUNIA

名称: 22422

链接:http://secunia.com/advisories/22422

来源: SECUNIA

名称: 22342

链接:http://secunia.com/advisories/22342

来源: SECUNIA

名称: 22299

链接:http://secunia.com/advisories/22299

来源: SECUNIA

名称: 22274

链接:http://secunia.com/advisories/22274

来源: SECUNIA

名称: 22247

链接:http://secunia.com/advisories/22247

来源: SECUNIA

名称: 22226

链接:http://secunia.com/advisories/22226

来源: SECUNIA

名称: 22210

链接:http://secunia.com/advisories/22210

来源: SECUNIA

名称: 22088

链接:http://secunia.com/advisories/22088

来源: SECUNIA

名称: 22074

链接:http://secunia.com/advisories/22074

来源: SECUNIA

名称: 22055

链接:http://secunia.com/advisories/22055

来源: SECUNIA

名称: 22036

链接:http://secunia.com/advisories/22036

来源: SECUNIA

名称: 22025

链接:http://secunia.com/advisories/22025

来源: SECUNIA

名称: 22001

链接:http://secunia.com/advisories/22001

来源: SECUNIA

名称: 21950

链接:http://secunia.com/advisories/21950

来源: SECUNIA

名称: 21940

链接:http://secunia.com/advisories/21940

来源: SECUNIA

名称: 21939

链接:http://secunia.com/advisories/21939

来源: SECUNIA

名称: 21916

链接:http://secunia.com/advisories/21916

来源: SECUNIA

名称: 21915

链接:http://secunia.com/advisories/21915

来源: SECUNIA

名称: 21903

链接:http://secunia.com/advisories/21903

来源: MANDRIVA

名称: MDKSA-2006:169

链接:http://frontal2.mandriva.com/security/advisories?name=MDKSA-2006:169

来源: MANDRIVA

名称: MDKSA-2006:168

链接:http://frontal2.mandriva.com/security/advisories?name=MDKSA-2006:168

受影响实体

Mozilla Thunderbird:1.5.0.6
Mozilla Seamonkey:1.0.4
Mozilla Network_security_services:3.11.2
Mozilla Firefox:1.5.0.6

补丁

暂无

特别声明

本站(ZONE.CI)所有文章仅供技术研究，若将其信息做其他用途，由用户承担全部法律及连带责任，本站不承担任何法律及连带责任，请遵守中华人民共和国安全法.

ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带

咨询加Q：999999999

ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带

ZONE.CI 全球网安全领域涉猎者-乌云独行地带

ZONE.CI 全球网

Plugins

WordPress

Web前端

设计资源

OpenSSL PKCS填充伪造RSA签名漏洞

漏洞信息详情

OpenSSL PKCS填充伪造RSA签名漏洞

漏洞简介

漏洞公告

参考网址

受影响实体

补丁

Novell Groupwise任意文件取回漏洞

OpenSSL PKCS填充伪造RSA签名漏洞

Oracle 2007年1月更新修复多个安全漏洞

OpenSSL 拒绝服务漏洞

Oracle 2007年1月更新修复多个安全漏洞

OpenSSL 'SSL_get_shared_ciphers()'函数缓冲区错误漏洞

Zope DTML格式方法校验漏洞

Ipswitch IMail Server可预知的Session ID漏洞

pswitch Imail用户邮箱泄露漏洞

Ipswitch IMail Server用户修改漏洞

ZONE.CI 全球网