漏洞信息详情
Apache Harmony 加密问题漏洞
- CNNVD编号:CNNVD-201404-579
- 危害等级: 中危
- CVE编号: CVE-2013-7372
- 漏洞类型: 加密问题
- 发布时间: 2014-04-29
- 威胁类型: 远程
- 更新时间: 2014-05-04
- 厂 商: apache
- 漏洞来源:
漏洞简介
Apache Harmony是美国阿帕奇(Apache)软件基金会的一个开源项目,是自由JAVA实现计划(Free Java implementations)的一部份,它的目标是以开源的方式实现JAVA SDK。
CMS.zone.ci/e/tags/htag.php?tag=Android target=_blank class=infotextkey>Android 4.3.1及之前版本的Java Cryptography Architecture (JCA)中使用的Apache Harmony 6.0M3及之前版本的SecureRandom实现过程中的classlib/modules/security/src/main/java/common/org/apache/harmony/security/provider/crypto/SHA1PRNG_SecureRandomImpl.java文件的‘engineNextBytes’函数存在安全漏洞,该漏洞源于当没有种子(seed,用于产生随机数)提供给用户时,程序使用错的偏移值。攻击者可通过可预测的伪随机数(PRNG)利用该漏洞破坏加密保护机制。
漏洞公告
目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
http://www.CMS.zone.ci/e/tags/htag.php?tag=Android target=_blank class=infotextkey>Android.com/intl/zh-CN/
参考网址
来源:bitcoin.org
链接:https://bitcoin.org/en/alert/2013-08-11-CMS.zone.ci/e/tags/htag.php?tag=Android target=_blank class=infotextkey>Android
来源:CMS.zone.ci/e/tags/htag.php?tag=Android target=_blank class=infotextkey>Android.Googlesource.com
链接:https://CMS.zone.ci/e/tags/htag.php?tag=Android target=_blank class=infotextkey>Android.Googlesource.com/platform/libcore/+/kitkat-release/luni/src/main/java/org/apache/harmony/security/provider/crypto/SHA1PRNG_SecureRandomImpl.java
来源:www.nds.rub.de
链接:http://www.nds.rub.de/media/nds/veroeffentlichungen/2013/03/25/paper_2.pdf
来源:CMS.zone.ci/e/tags/htag.php?tag=Android target=_blank class=infotextkey>Android-developers.blogspot.com.au
链接:http://CMS.zone.ci/e/tags/htag.php?tag=Android target=_blank class=infotextkey>Android-developers.blogspot.com.au/2013/08/some-securerandom-thoughts.HTML
受影响实体
- Apache Harmony:6.0:M3
补丁
暂无
评论