Gentoo Linux是Gentoo基金会的一套开源的Linux系统。
Gentoo Linux的ssl-cert.eclass实现上存在漏洞,本地攻击者可能利用此漏洞非授权获取信息。
在ssl-cert.eclass中,docert函数用于生成SSL密钥和SSL证书。如果在src_compile或src_install中使用了docert函数,SSL密钥就会包含在不受保护的binpkg中,任何可以访问系统的用户都可以解压tarball恢复密钥。如果要利用这个漏洞,攻击者必须能够访问使用--buildpkg或--buildpkgonly选项编译的二进制软件包。
目前厂商已经发布了升级补丁以修复这个安全问题,补丁下载链接:
http://security.gentoo.org/glsa/glsa-200803-30.xml
来源: bugs.gentoo.org
链接:https://bugs.gentoo.org/show_bug.cgi?id=174759
来源: XF
名称: gentoo-docert-sslkey-weak-security(41336)
链接:http://xforce.iss.net/xforce/xfdb/41336
来源: BID
名称: 28350
链接:http://www.securityfocus.com/bid/28350
来源: GENTOO
名称: GLSA-200803-30
链接:http://security.gentoo.org/glsa/glsa-200803-30.xml
来源: SECUNIA
名称: 29436
链接:http://secunia.com/advisories/29436
来源: OSVDB
名称: 43479
链接:http://osvdb.org/43479
暂无
发布时间 May 12, 2008
发布时间 Apr 18, 2008
发布时间 Feb 28, 2008
发布时间 Dec 31, 2007
发布时间 Sep 18, 2007
