OpenSSL PKCS中存在填充伪造RSA信任授权签名漏洞

受影响系统：
OpenSSL Project OpenSSL < 0.9.8b
OpenSSL Project OpenSSL < 0.9.7j

不受影响系统：
OpenSSL Project OpenSSL 0.9.8c
OpenSSL Project OpenSSL 0.9.7k

描述：
OpenSSL是一种开放源码的SSL实现，用来实现网络通信的高强度加密，现在被广泛地用于各种网络应用程序中。

OpenSSL在验证PKCS #1 v1.5签名时存在错误，攻击者可能利用此漏洞伪造签名。

如果使用了有指数3的RSA密钥的话，攻击者就可以伪造由该密钥签发的PKCS #1 v1.5签名。如果没有检查签名的RSA幂运算结果中的额外数据的话，这种实现就可能错误的验证证书，导致建立非授权的信任关系。

厂商补丁：
OpenSSL Project
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：
http://www.openssl.org/source/
ftp://ftp.openssl.org/source/