(2012-09-17 07:15:43)
受影响系统:
OpenSSL Project OpenSSL < 0.9.8b
OpenSSL Project OpenSSL < 0.9.7j
不受影响系统:
OpenSSL Project OpenSSL 0.9.8c
OpenSSL Project OpenSSL 0.9.7k
描述:
OpenSSL是一种开放源码的SSL实现,用来实现网络通信的高强度加密,现在被广泛地用于各种网络应用程序中。
OpenSSL在验证PKCS #1 v1.5签名时存在错误,攻击者可能利用此漏洞伪造签名。
如果使用了有指数3的RSA密钥的话,攻击者就可以伪造由该密钥签发的PKCS #1 v1.5签名。如果没有检查签名的RSA幂运算结果中的额外数据的话,这种实现就可能错误的验证证书,导致建立非授权的信任关系。
厂商补丁:
OpenSSL Project
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://www.openssl.org/source/
ftp://ftp.openssl.org/source/
中华人民共和国备案号:浙ICP备10018243号