漏洞信息详情
PyCrypto‘Crypto.Random’竞争条件信息泄露漏洞
- CNNVD编号:CNNVD-201310-558
- 危害等级: 低危
- CVE编号: CVE-2013-1445
- 漏洞类型: 加密问题
- 发布时间: 2013-10-24
- 威胁类型: 远程
- 更新时间: 2013-10-28
- 厂 商: dlitz
- 漏洞来源: Dwayne Litzenberger
漏洞简介
PyCrypto是一个使用Python编写的加密工具包,它包含了MD5、AES、DES3等加密算法。
PyCrypto 2.6.1之前的版本中的Crypto.Random.atfork函数中存在安全漏洞,该漏洞源于程序允许子程序访问伪随机数生成器之前,没有正确补种伪随机数生成器(PRNG),多个进程使用相同的随机数产生竞争条件。远程攻击者可借助竞争条件利用该漏洞获取敏感信息。
漏洞公告
目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
http://www.openwall.com/lists/oss-security/2013/10/17/3
参考网址
来源: github.com
链接:https://github.com/dlitz/pycrypto/commit/19dcf7b15d61b7dc1a125a367151de40df6ef175
来源: MLIST
名称: [oss-security] 20131017 CVE-2013-1445 python-crypto:PRNG not correctly reseeded in some situations
链接:http://www.openwall.com/lists/oss-security/2013/10/17/3
来源: DEBIAN
名称: DSA-2781
链接:http://www.debian.org/security/2013/dsa-2781
来源: BID
名称: 63201
链接:http://www.securityfocus.com/bid/63201
受影响实体
- Dlitz Pycrypto:2.4
- Dlitz Pycrypto:2.4.1
- Dlitz Pycrypto:2.5
- Dlitz Pycrypto:2.6
- Dlitz Pycrypto:2.1.0
补丁
暂无
![weinxin](http://zone.ci/zone_ci_images/zone.ci.png)
评论