漏洞信息详情

Ietf X.509证书MD5签名冲突漏洞

• CNNVD编号：CNNVD-200901-025
• 危害等级： 中危
  
• CVE编号： CVE-2004-2761
• 漏洞类型： 加密问题
• 发布时间： 2008-12-30
• 威胁类型： 远程
• 更新时间： 2009-03-20
• 厂        商： ietf
• 漏洞来源： Alexander Sotirov

漏洞简介

X.509是由国际电信联盟(ITU-T)制定的数字证书标准。

MD5哈希算法中可能存在冲突，导致用这种算法所签名的X.509数字证书并不安全。攻击者可以生成内容不同但数字签名与源证书相同的额外数字证书，如果WEB浏览器信任了伪造的证书的话，攻击者就可以扮演称为可信任的站点，包括用HTTPS协议加密的电子商务站点。

漏洞公告

目前厂商还没有提供补丁或者升级程序，建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.ietf.org/

参考网址

来源: MISC

链接:http://www.win.tue.nl/hashclash/SoftIntCodeSign/

来源: MISC

链接:http://www.win.tue.nl/hashclash/rogue-ca/

来源: UBUNTU

名称: USN-740-1

链接:http://www.ubuntu.com/usn/usn-740-1

来源: BID

名称: 33065

链接:http://www.securityfocus.com/bid/33065

来源: BUGTRAQ

名称: 20081230 MD5 Considered Harmful Today: Creating a rogue CA certificate

链接:http://www.securityfocus.com/archive/1/archive/1/499685/100/0/threaded

来源: MISC

链接:http://www.phreedom.org/research/rogue-ca/

来源: MISC

链接:http://www.microsoft.com/technet/security/advisory/961509.mspx

来源: MISC

链接:http://www.doxpara.com/research/md5/md5_someday.pdf

来源: CISCO

名称: 20090115 MD5 Hashes May Allow for Certificate Spoofing

链接:http://www.cisco.com/en/US/products/products_security_response09186a0080a5d24a.HTML

来源: SREASON

名称: 4866

链接:http://securityreason.com/securityalert/4866

来源: SECUNIA

名称: 34281

链接:http://secunia.com/advisories/34281

来源: SECUNIA

名称: 33826

链接:http://secunia.com/advisories/33826

来源: MISC

链接:http://blogs.technet.com/swi/archive/2008/12/30/information-regarding-md5-collisions-problem.aspx

来源: MISC

链接:http://blog.mozilla.com/security/2008/12/30/md5-weaknesses-could-lead-to-certificate-forgery/

受影响实体

• Ietf Md5:-  

补丁

暂无