漏洞信息详情
OpenSSL PKCS填充伪造RSA签名漏洞
- CNNVD编号:CNNVD-200609-270
- 危害等级: 低危
- CVE编号: CVE-2006-4340
- 漏洞类型: 输入验证
- 发布时间: 2001-10-16
- 威胁类型: 远程
- 更新时间: 2006-11-10
- 厂 商: mozilla
- 漏洞来源: Daniel Bleichenbac...
漏洞简介
OpenSSL是OpenSSL团队开发的一个开源的能够实现安全套接层(SSL v2/v3)和安全传输层(TLS v1)协议的通用加密库,它支持多种加密算法,包括对称密码、哈希算法、安全散列算法等。
OpenSSL在验证PKCS #1 v1.5签名时存在错误,攻击者可能利用此漏洞伪造签名。
如果使用了有指数3的RSA密钥的话,攻击者就可以伪造由该密钥签发的PKCS #1 v1.5签名。如果没有检查签名的RSA幂运算结果中的额外数据的话,这种实现就可能错误的验证证书,导致建立非授权的信任关系。
漏洞公告
目前厂商已经发布了升级补丁以修复这个安全问题,补丁下载链接:
http://www.debian.org/security/2005/dsa-1174
http://lwn.net/Alerts/199691
http://lwn.net/Alerts/198829/?format=printable
http://lwn.net/Alerts/199692
http://lwn.net/Alerts/199693/?format=printable
ftp://patches.sgi.com/support/free/security/advisories/20060901-01-P.asc
http://sunsolve.sun.com/search/printfriendly.do?assetkey=1-26-102722-1
http://security.gentoo.org/glsa/glsa-200610-06.xml
参考网址
来源: US-CERT
名称: TA06-312A
链接:http://www.us-cert.gov/cas/techalerts/TA06-312A.HTML
来源: REDHAT
名称: RHSA-2006:0677
链接:http://www.redhat.com/support/errata/RHSA-2006-0677.HTML
来源: REDHAT
名称: RHSA-2006:0676
链接:http://www.redhat.com/support/errata/RHSA-2006-0676.HTML
来源: SECUNIA
名称: 21949
链接:http://secunia.com/advisories/21949
来源: SECUNIA
名称: 21906
链接:http://secunia.com/advisories/21906
来源: DEBIAN
名称: DSA-1191
链接:http://www.us.debian.org/security/2006/dsa-1191
来源: UBUNTU
名称: USN-361-1
链接:http://www.ubuntu.com/usn/usn-361-1
来源: UBUNTU
名称: USN-354-1
链接:http://www.ubuntu.com/usn/usn-354-1
来源: UBUNTU
名称: USN-352-1
链接:http://www.ubuntu.com/usn/usn-352-1
来源: UBUNTU
名称: USN-351-1
链接:http://www.ubuntu.com/usn/usn-351-1
来源: UBUNTU
名称: USN-350-1
链接:http://www.ubuntu.com/usn/usn-350-1
来源: REDHAT
名称: RHSA-2006:0675
链接:http://www.redhat.com/support/errata/RHSA-2006-0675.HTML
来源: SUSE
名称: SUSE-SA:2006:055
链接:http://www.novell.com/linux/security/advisories/2006_55_ssl.HTML
来源: SUSE
名称: SUSE-SA:2006:054
链接:http://www.novell.com/linux/security/advisories/2006_54_mozilla.HTML
来源: www.mozilla.org
链接:http://www.mozilla.org/security/announce/2006/mfsa2006-60.HTML
来源: MISC
链接:http://www.matasano.com/log/469/many-rsa-signatures-may-be-forgeable-in-openssl-and-elsewhere/
来源: MLIST
名称: [ietf-openpgp] 20060827 Bleichenbacher's RSA signature forgery based on implementation error
链接:http://www.imc.org/ietf-openpgp/mail-archive/msg14307.HTML
来源: GENTOO
名称: GLSA-200610-06
链接:http://www.gentoo.org/security/en/glsa/glsa-200610-06.xml
来源: VUPEN
名称: ADV-2006-3899
链接:http://www.frsirt.com/english/advisories/2006/3899
来源: VUPEN
名称: ADV-2006-3622
链接:http://www.frsirt.com/english/advisories/2006/3622
来源: VUPEN
名称: ADV-2006-3617
链接:http://www.frsirt.com/english/advisories/2006/3617
来源: DEBIAN
名称: DSA-1192
链接:http://www.debian.org/security/2006/dsa-1192
来源: support.avaya.com
链接:http://support.avaya.com/elmodocs2/security/ASA-2006-224.htm
来源: SUNALERT
名称: 102648
链接:http://sunsolve.sun.com/search/document.do?assetkey=1-26-102648-1
来源: SECTRACK
名称: 1016860
链接:http://securitytracker.com/id?1016860
来源: SECTRACK
名称: 1016859
链接:http://securitytracker.com/id?1016859
来源: SECTRACK
名称: 1016858
链接:http://securitytracker.com/id?1016858
来源: GENTOO
名称: GLSA-200610-01
链接:http://security.gentoo.org/glsa/glsa-200610-01.xml
来源: GENTOO
名称: GLSA-200609-19
链接:http://security.gentoo.org/glsa/glsa-200609-19.xml
来源: SECUNIA
名称: 22422
链接:http://secunia.com/advisories/22422
来源: SECUNIA
名称: 22342
链接:http://secunia.com/advisories/22342
来源: SECUNIA
名称: 22299
链接:http://secunia.com/advisories/22299
来源: SECUNIA
名称: 22274
链接:http://secunia.com/advisories/22274
来源: SECUNIA
名称: 22247
链接:http://secunia.com/advisories/22247
来源: SECUNIA
名称: 22226
链接:http://secunia.com/advisories/22226
来源: SECUNIA
名称: 22210
链接:http://secunia.com/advisories/22210
来源: SECUNIA
名称: 22088
链接:http://secunia.com/advisories/22088
来源: SECUNIA
名称: 22074
链接:http://secunia.com/advisories/22074
来源: SECUNIA
名称: 22055
链接:http://secunia.com/advisories/22055
来源: SECUNIA
名称: 22036
链接:http://secunia.com/advisories/22036
来源: SECUNIA
名称: 22025
链接:http://secunia.com/advisories/22025
来源: SECUNIA
名称: 22001
链接:http://secunia.com/advisories/22001
来源: SECUNIA
名称: 21950
链接:http://secunia.com/advisories/21950
来源: SECUNIA
名称: 21940
链接:http://secunia.com/advisories/21940
来源: SECUNIA
名称: 21939
链接:http://secunia.com/advisories/21939
来源: SECUNIA
名称: 21916
链接:http://secunia.com/advisories/21916
来源: SECUNIA
名称: 21915
链接:http://secunia.com/advisories/21915
来源: SECUNIA
名称: 21903
链接:http://secunia.com/advisories/21903
来源: MANDRIVA
名称: MDKSA-2006:169
链接:http://frontal2.mandriva.com/security/advisories?name=MDKSA-2006:169
来源: MANDRIVA
名称: MDKSA-2006:168
链接:http://frontal2.mandriva.com/security/advisories?name=MDKSA-2006:168
受影响实体
- Mozilla Thunderbird:1.5.0.6
- Mozilla Seamonkey:1.0.4
- Mozilla Network_security_services:3.11.2
- Mozilla Firefox:1.5.0.6
补丁
暂无
![weinxin](http://zone.ci/zone_ci_images/zone.ci.png)
评论