OpenCA Crypto-Utils.Lib签名验证漏洞

QQ空间 新浪微博 微信 QQ facebook twitter
漏洞ID 1202058 漏洞类型 其他
发布时间 2004-01-16 更新时间 2009-07-12
CVE编号 CVE-2004-0004 CNNVD-ID CNNVD-200402-067
漏洞平台 N/A CVSS评分 7.5
|漏洞来源
https://www.securityfocus.com/bid/9435
http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-200402-067
|漏洞详情
OpenCA是一个开放源代码的一个全功能的接口结构,它用来在全PKI环境下管理x509的数字证书。OpenCA的crypto-utils.lib库存在漏洞,远程攻击者可以利用这个漏洞可导致OpenCA接收恶意证书。OpenCA包含通用加密操作库-crypto-utils.lib,这个库包含检查签名(libCheckSignature)的函数,这个函数装载OpenCA数据库中已使用的签名证书,及最后确保已使用的签名证书等同于数据库中的证书。在数据库中的证书和签名者的证书的对比只执行基于证书序列号的对比,如果签名链可以建立一个OpenCA链目录的受信关系及证书相匹配的序列号存在于已使用的PKI中,受此漏洞影响的函数可以导致接受恶意证书。
|受影响的产品
OpenCA OpenCA 0.9.1 -6 OpenCA OpenCA 0.9.1 -5 OpenCA OpenCA 0.9.1 -4 OpenCA OpenCA 0.9.1 -3 OpenCA OpenCA 0.9.1 -2 OpenCA OpenCA 0.9.1 -1 OpenCA OpenCA 0.9.1
|参考资料

来源:US-CERTVulnerabilityNote:VU#336446
名称:VU#336446
链接:http://www.kb.cert.org/vuls/id/336446
来源:BID
名称:9435
链接:http://www.securityfocus.com/bid/9435
来源:www.openca.org
链接:http://www.openca.org/news/CAN-2004-0004.txt
来源:XF
名称:openca-improper-signature-verification(14847)
链接:http://xforce.iss.net/xforce/xfdb/14847
来源:OSVDB
名称:3615
链接:http://www.osvdb.org/3615
来源:BUGTRAQ
名称:20040116[OpenCAAdvisory]Vulnerabilityinsignatureverification
链接:http://marc.theaimsgroup.com/?l=bugtraq&m=107427313700554&w=2