漏洞信息详情

OpenEvidence 函数OpenSSL EVP_VerifyFinal 安全绕过漏洞

漏洞简介

OpenSSL是OpenSSL团队开发的一个开源的能够实现安全套接层(SSL v2/v3)和安全传输层(TLS v1)协议的通用加密库,它支持多种加密算法,包括对称密码、哈希算法、安全散列算法等。

OpenEvidence 没有正确处理函数OpenSSL EVP_VerifyFinal返回值,使系统存在安全绕过漏洞。远程攻击者可以通过为DSA和ECDSA key伪造SSL/TLS签名绕过证书链表符合性检查。

漏洞公告

目前厂商已经发布了升级补丁以修复这个安全问题,补丁下载链接:

http://www.debian.org/security/2009/dsa-1700

参考网址

来源: MISC

链接:http://www.ocert.org/advisories/ocert-2008-016.html

来源: VUPEN

名称: ADV-2009-0047

链接:http://www.frsirt.com/english/advisories/2009/0047

补丁

    暂无

漏洞信息快速查询

相关漏洞

更多