漏洞信息详情

Ietf X.509证书MD5签名冲突漏洞

  • CNNVD编号:CNNVD-200901-025
  • 危害等级: 中危
  • CVE编号: CVE-2004-2761
  • 漏洞类型: 加密问题
  • 发布时间: 2008-12-30
  • 威胁类型: 远程
  • 更新时间: 2009-03-20
  • 厂        商: ietf
  • 漏洞来源: Alexander Sotirov

漏洞简介

X.509是由国际电信联盟(ITU-T)制定的数字证书标准。

MD5哈希算法中可能存在冲突,导致用这种算法所签名的X.509数字证书并不安全。攻击者可以生成内容不同但数字签名与源证书相同的额外数字证书,如果WEB浏览器信任了伪造的证书的话,攻击者就可以扮演称为可信任的站点,包括用HTTPS协议加密的电子商务站点。

漏洞公告

目前厂商还没有提供补丁或者升级程序,建议使用此软件的用户随时关注厂商的主页以获取最新版本:

http://www.ietf.org/

参考网址

来源: MISC

链接:http://www.win.tue.nl/hashclash/SoftIntCodeSign/

来源: MISC

链接:http://www.win.tue.nl/hashclash/rogue-ca/

来源: UBUNTU

名称: USN-740-1

链接:http://www.ubuntu.com/usn/usn-740-1

来源: BID

名称: 33065

链接:http://www.securityfocus.com/bid/33065

来源: BUGTRAQ

名称: 20081230 MD5 Considered Harmful Today: Creating a rogue CA certificate

链接:http://www.securityfocus.com/archive/1/archive/1/499685/100/0/threaded

来源: MISC

链接:http://www.phreedom.org/research/rogue-ca/

来源: MISC

链接:http://www.microsoft.com/technet/security/advisory/961509.mspx

来源: MISC

链接:http://www.doxpara.com/research/md5/md5_someday.pdf

来源: CISCO

名称: 20090115 MD5 Hashes May Allow for Certificate Spoofing

链接:http://www.cisco.com/en/US/products/products_security_response09186a0080a5d24a.html

来源: SREASON

名称: 4866

链接:http://securityreason.com/securityalert/4866

来源: SECUNIA

名称: 34281

链接:http://secunia.com/advisories/34281

来源: SECUNIA

名称: 33826

链接:http://secunia.com/advisories/33826

来源: MISC

链接:http://blogs.technet.com/swi/archive/2008/12/30/information-regarding-md5-collisions-problem.aspx

来源: MISC

链接:http://blog.mozilla.com/security/2008/12/30/md5-weaknesses-could-lead-to-certificate-forgery/

受影响实体

补丁

    暂无

漏洞信息快速查询

相关漏洞

更多