受影响系统:
OpenSSL Project OpenSSL < 0.9.8b
OpenSSL Project OpenSSL < 0.9.7j
不受影响系统:
OpenSSL Project OpenSSL 0.9.8c
OpenSSL Project OpenSSL 0.9.7k
描述:
OpenSSL是一种开放源码的SSL实现,用来实现网络通信的高强度加密,现在被广泛地用于各种网络应用程序中。
OpenSSL在验证PKCS #1 v1.5签名时存在错误,攻击者可能利用此漏洞伪造签名。
如果使用了有指数3的RSA密钥的话,攻击者就可以伪造由该密钥签发的PKCS #1 v1.5签名。如果没有检查签名的RSA幂运算结果中的额外数据的话,这种实现就可能错误的验证证书,导致建立非授权的信任关系。
厂商补丁:
Debian已经为此发布了一个安全公告(DSA-1173-1)以及相应补丁:DSA-1173-1:New openssl packages fix RSA signature forgery cryptographic weakness
链接:http://www.debian.org/security/2005/dsa-1173