漏洞信息详情

Gentoo ssl-cert eclass信息泄露漏洞

  • CNNVD编号:CNNVD-200803-274
  • 危害等级: 低危
  • CVE编号: CVE-2008-1383
  • 漏洞类型: 加密问题
  • 发布时间: 2008-03-18
  • 威胁类型: 本地
  • 更新时间: 2008-11-13
  • 厂        商: gentoo
  • 漏洞来源: Robin Johnson

漏洞简介

Gentoo Linux是Gentoo基金会的一套开源的Linux系统。

Gentoo Linux的ssl-cert.eclass实现上存在漏洞,本地攻击者可能利用此漏洞非授权获取信息。

在ssl-cert.eclass中,docert函数用于生成SSL密钥和SSL证书。如果在src_compile或src_install中使用了docert函数,SSL密钥就会包含在不受保护的binpkg中,任何可以访问系统的用户都可以解压tarball恢复密钥。如果要利用这个漏洞,攻击者必须能够访问使用--buildpkg或--buildpkgonly选项编译的二进制软件包。

漏洞公告

目前厂商已经发布了升级补丁以修复这个安全问题,补丁下载链接:

http://security.gentoo.org/glsa/glsa-200803-30.xml

参考网址

来源: bugs.gentoo.org

链接:https://bugs.gentoo.org/show_bug.cgi?id=174759

来源: XF

名称: gentoo-docert-sslkey-weak-security(41336)

链接:http://xforce.iss.net/xforce/xfdb/41336

来源: BID

名称: 28350

链接:http://www.securityfocus.com/bid/28350

来源: GENTOO

名称: GLSA-200803-30

链接:http://security.gentoo.org/glsa/glsa-200803-30.xml

来源: SECUNIA

名称: 29436

链接:http://secunia.com/advisories/29436

来源: OSVDB

名称: 43479

链接:http://osvdb.org/43479

受影响实体

补丁

    暂无

漏洞信息快速查询

相关漏洞

更多