OpenSSL J-PAKE安全绕过漏洞

漏洞起因
设计错误
危险等级

 
影响系统
OpenSSL Project OpenSSL 1.0 Beta2
OpenSSL Project OpenSSL 1.0
OpenSSL Project OpenSSL 0.9.8 k
OpenSSL Project OpenSSL 0.9.8 j
OpenSSL Project OpenSSL 1.0.0b
OpenSSL Project OpenSSL 1.0.0a
OpenSSL Project OpenSSL 0.9.8p
OpenSSL Project OpenSSL 0.9.8o
OpenSSL Project OpenSSL 0.9.8n
OpenSSL Project OpenSSL 0.9.8m
OpenSSL Project OpenSSL 0.9.8l
  
 
不受影响系统
OpenSSL Project OpenSSL 1.0.0c
 
危害
远程攻击者可以利用漏洞无需共享密钥通过验证。
 
攻击所需条件
攻击者必须访问OpenSSL J-PAKE实现。
 
漏洞信息
OpenSSL是一款开放源码的SSL实现,用来实现网络通信的高强度加密。
OpenSSL’s J-PAKE实现存在错误,不知晓共享私钥的用户可成功验证。此错误在1.0.0c中得到修补。
J-PAKE实现默认没有编译在OpenSSL中。
 
测试方法
 
厂商解决方案
OpenSSL 1.0.0c已经修复此漏洞,建议用户下载使用:
http://openssl.org/
 
漏洞提供者
Sebastien Martini
 
漏洞消息链接
http://seb.dbzteam.org/crypto/jpake-session-key-retrieval.pdf
http://www.openssl.org/news/secadv_20101202.txt

发表评论?

0 条评论。

发表评论