正文

OpenSSL 程序CMS_verify 安全绕过漏洞

admin
admin V管理员 /0 评论 /4 阅读
0105
此篇文章发布距今已超过1282天,您需要注意文章的内容或图片是否可用!

漏洞信息详情

OpenSSL 程序CMS_verify 安全绕过漏洞

  • CNNVD编号:CNNVD-200903-478
    • <!--
  • 危害等级: 低危-->
  • 危害等级: 低危
  • CVE编号: CVE-2009-0591
  • 漏洞类型: 授权问题
  • 发布时间: 2009-03-27
  • 威胁类型: 远程
  • 更新时间: 2009-06-16
  • 厂        商: openssl
  • 漏洞来源: Ivan Nestlerode Pa...

漏洞简介

OpenSSL是OpenSSL团队开发的一个开源的能够实现安全套接层(SSL v2/v3)和安全传输层(TLS v1)协议的通用加密库,它支持多种加密算法,包括对称密码、哈希算法、安全散列算法等。

OpenSSL的CMS_verify()函数在处理畸形的签名属性时没有正确地处理出错情况,可能导致应用将畸形的签名属性集处理为有效,绕过之后的检查。成功利用这个漏洞要求OpenSSL启用了CMS且访问了之前生成的无效签名。

漏洞公告

目前厂商已经发布了升级补丁以修复这个安全问题,补丁下载链接:

http://security.FreeBSD.org/advisories/

参考网址

来源: XF

名称: openssl-cmsverify-security-bypass(49432)

链接: http://xforce.iss.net/xforce/xfdb/49432

来源: VUPEN

名称: ADV-2009-1548

链接: http://www.vupen.com/english/advisories/2009/1548

来源: VUPEN

名称: ADV-2009-1175

链接: http://www.vupen.com/english/advisories/2009/1175

来源: VUPEN

名称: ADV-2009-1020

链接: http://www.vupen.com/english/advisories/2009/1020

来源: VUPEN

名称: ADV-2009-0850

链接: http://www.vupen.com/english/advisories/2009/0850

来源: BID

名称: 34256

链接: http://www.securityfocus.com/bid/34256

来源: www.php.net

链接: http://www.php.net/archive/2009.php#id2009-04-08-1

来源: OSVDB

名称: 52865

链接: http://www.osvdb.org/52865

来源: www.openssl.org

链接: http://www.openssl.org/news/secadv_20090325.txt

来源: voodoo-circle.sourceforge.net

链接: http://voodoo-circle.sourceforge.net/sa/sa-20090326-01.html

来源: support.apple.com

链接: http://support.apple.com/kb/HT3865

来源: sourceforge.net

链接: http://sourceforge.net/project/shownotes.php?release_id=671059&group_id=116847

来源: SECTRACK

名称: 1021907

链接: http://securitytracker.com/id?1021907

来源: SECUNIA

名称: 36701

链接: http://secunia.com/advisories/36701

来源: SECUNIA

名称: 35729

链接: http://secunia.com/advisories/35729

来源: SECUNIA

名称: 35380

链接: http://secunia.com/advisories/35380

来源: SECUNIA

名称: 35065

链接: http://secunia.com/advisories/35065

来源: SECUNIA

名称: 34666

链接: http://secunia.com/advisories/34666

来源: SECUNIA

名称: 34460

链接: http://secunia.com/advisories/34460

来源: SECUNIA

名称: 34411

链接: http://secunia.com/advisories/34411

来源: HP

名称: SSRT090059

链接: http://marc.info/?l=bugtraq&m=124464882609472&w=2

来源: HP

名称: SSRT090059

链接: http://marc.info/?l=bugtraq&m=124464882609472&w=2

来源: SUSE

名称: SUSE-SR:2009:010

链接: http://lists.opensuse.org/opensuse-security-announce/2009-05/msg00000.html

来源: APPLE

名称: APPLE-SA-2009-09-10-2

链接: http://lists.apple.com/archives/security-announce/2009/Sep/msg00004.html

来源: NETBSD

名称: NetBSD-SA2009-008

链接: ftp://ftp.netbsd.org/pub/NetBSD/security/advisories/NetBSD-SA2009-008.txt.asc

受影响实体

  • Openssl Openssl:0.9.8j  
    <!--
    2000-1-1
    -->
  • Openssl Openssl:0.9.8i  
    <!--
    2000-1-1
    -->
  • Openssl Openssl:0.9.8h  
    <!--
    2000-1-1
    -->

补丁

    暂无