nCipher PKCS#11 Symmetric Message签字验证漏洞发布时间:2002-08-28 更新时间:2002-08-28 严重程度:中 威胁程度:其它 错误类型:设计错误 利用方式:服务器模式 BUGTRAQ ID:5498 受影响系统 nCipher nForce详细描述 nCipher提供一系列硬件和软件安全产品,支持大量的加密操作,不过nCipher加密库中存在一个漏洞。 当根据RSA PKCS#11规范的symmetric key进行签字的信息被检查时候,非法的签字没有被探测到,C_Verify函数会不判断签字的合法性而返回"CKR_OK"信息。 依靠这个函数的应用程序会对非法签字的检测操作失败,如果产品利用了这个有漏洞的库,可以在加密通信中修改或者插入数据,导致加密失败。 测试代码 无 解决方案 nCipher已经为Microsoft Windows, Linux, AIX, Solaris和HP-UX提供升级程序,请连接供应商。 相关信息 nCipher Security Advisory. 参考:http://online.securityfocus.com/archive/1/288056 |
