漏洞信息详情
Ietf X.509证书MD5签名冲突漏洞
- CNNVD编号:CNNVD-200901-025
- 危害等级: 中危
- CVE编号: CVE-2004-2761
- 漏洞类型: 加密问题
- 发布时间: 2008-12-30
- 威胁类型: 远程
- 更新时间: 2009-03-20
- 厂 商: ietf
- 漏洞来源: Alexander Sotirov
漏洞简介
X.509是由国际电信联盟(ITU-T)制定的数字证书标准。
MD5哈希算法中可能存在冲突,导致用这种算法所签名的X.509数字证书并不安全。攻击者可以生成内容不同但数字签名与源证书相同的额外数字证书,如果WEB浏览器信任了伪造的证书的话,攻击者就可以扮演称为可信任的站点,包括用HTTPS协议加密的电子商务站点。
漏洞公告
目前厂商还没有提供补丁或者升级程序,建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://www.ietf.org/
参考网址
来源: MISC
链接:http://www.win.tue.nl/hashclash/SoftIntCodeSign/
来源: MISC
链接:http://www.win.tue.nl/hashclash/rogue-ca/
来源: UBUNTU
名称: USN-740-1
链接:http://www.ubuntu.com/usn/usn-740-1
来源: BID
名称: 33065
链接:http://www.securityfocus.com/bid/33065
来源: BUGTRAQ
名称: 20081230 MD5 Considered Harmful Today: Creating a rogue CA certificate
链接:http://www.securityfocus.com/archive/1/archive/1/499685/100/0/threaded
来源: MISC
链接:http://www.phreedom.org/research/rogue-ca/
来源: MISC
链接:http://www.microsoft.com/technet/security/advisory/961509.mspx
来源: MISC
链接:http://www.doxpara.com/research/md5/md5_someday.pdf
来源: CISCO
名称: 20090115 MD5 Hashes May Allow for Certificate Spoofing
链接:http://www.cisco.com/en/US/products/products_security_response09186a0080a5d24a.HTML
来源: SREASON
名称: 4866
链接:http://securityreason.com/securityalert/4866
来源: SECUNIA
名称: 34281
链接:http://secunia.com/advisories/34281
来源: SECUNIA
名称: 33826
链接:http://secunia.com/advisories/33826
来源: MISC
链接:http://blogs.technet.com/swi/archive/2008/12/30/information-regarding-md5-collisions-problem.aspx
来源: MISC
链接:http://blog.mozilla.com/security/2008/12/30/md5-weaknesses-could-lead-to-certificate-forgery/
受影响实体
- Ietf Md5:-
补丁
暂无
![weinxin](http://zone.ci/zone_ci_images/zone.ci.png)
评论