OpenSSL PKCS填充伪造RSA签名漏洞

QQ空间 新浪微博 微信 QQ facebook twitter
漏洞ID 1205210 漏洞类型 输入验证
发布时间 2001-10-16 更新时间 2006-11-10
CVE编号 CVE-2006-4340 CNNVD-ID CNNVD-200609-270
漏洞平台 N/A CVSS评分 4.0
|漏洞来源
http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-200609-270
|漏洞详情
OpenSSL是OpenSSL团队开发的一个开源的能够实现安全套接层(SSLv2/v3)和安全传输层(TLSv1)协议的通用加密库,它支持多种加密算法,包括对称密码、哈希算法、安全散列算法等。OpenSSL在验证PKCS#1v1.5签名时存在错误,攻击者可能利用此漏洞伪造签名。如果使用了有指数3的RSA密钥的话,攻击者就可以伪造由该密钥签发的PKCS#1v1.5签名。如果没有检查签名的RSA幂运算结果中的额外数据的话,这种实现就可能错误的验证证书,导致建立非授权的信任关系。
|参考资料

来源:US-CERT
名称:TA06-312A
链接:http://www.us-cert.gov/cas/techalerts/TA06-312A.html
来源:REDHAT
名称:RHSA-2006:0677
链接:http://www.redhat.com/support/errata/RHSA-2006-0677.html
来源:REDHAT
名称:RHSA-2006:0676
链接:http://www.redhat.com/support/errata/RHSA-2006-0676.html
来源:SECUNIA
名称:21949
链接:http://secunia.com/advisories/21949
来源:SECUNIA
名称:21906
链接:http://secunia.com/advisories/21906
来源:DEBIAN
名称:DSA-1191
链接:http://www.us.debian.org/security/2006/dsa-1191
来源:UBUNTU
名称:USN-361-1
链接:http://www.ubuntu.com/usn/usn-361-1
来源:UBUNTU
名称:USN-354-1
链接:http://www.ubuntu.com/usn/usn-354-1
来源:UBUNTU
名称:USN-352-1
链接:http://www.ubuntu.com/usn/usn-352-1
来源:UBUNTU
名称:USN-351-1
链接:http://www.ubuntu.com/usn/usn-351-1
来源:UBUNTU
名称:USN-350-1
链接:http://www.ubuntu.com/usn/usn-350-1
来源:REDHAT
名称:RHSA-2006:0675
链接:http://www.redhat.com/support/errata/RHSA-2006-0675.html
来源:SUSE
名称:SUSE-SA:2006:055
链接:http://www.novell.com/linux/security/advisories/2006_55_ssl.html
来源:SUSE
名称:SUSE-SA:2006:054
链接:http://www.novell.com/linux