OpenSSL FIPS对象模块PRNG种子生成漏洞

漏洞信息详情

OpenSSL FIPS对象模块PRNG种子生成漏洞

• CNNVD编号：CNNVD-200712-009
• 危害等级： 中危
  
  
• CVE编号：
  CVE-2007-5502
  
• 漏洞类型：
  
  
  加密问题
  
• 发布时间：
  
  2007-11-29
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2007-12-01
  
• 厂        商：
  
  openssl
• 漏洞来源：
  Geoff Lowe

OpenSSL是OpenSSL团队开发的一个开源的能够实现安全套接层（SSL v2/v3）和安全传输层（TLS v1）协议的通用加密库，它支持多种加密算法，包括对称密码、哈希算法、安全散列算法等。

OpenSSL FIPS对象模块的伪随机数生成器(PRNG)实现中存在错误，可能导致可预测的随机数。

由于FIPS自检没有正确编码，导致从不会进行自动生成种子。这意味着PRNG密钥与种子与最后一次自检相关，FIPS PRNG仅从数据时间信息获得额外的种子数据，因此所生成的随机数据比较容易预测，尤其是最初的几次调用。

目前厂商已经发布了升级补丁以修复这个安全问题，补丁下载链接：

http://www.openssl.org/news/patch-CVE-2007-5502-1.txt

http://www.openssl.org/news/patch-CVE-2007-5502-2.txt

来源: US-CERT

名称: VU#150249

链接:http://www.kb.cert.org/vuls/id/150249

来源: BID

名称: 26652

链接:http://www.securityfocus.com/bid/26652

来源: SECUNIA

名称: 27859

链接:http://secunia.com/advisories/27859

来源: XF

名称: openssl-fips-prng-security-bypass(38796)

链接:http://xforce.iss.net/xforce/xfdb/38796

来源: SECTRACK

名称: 1019029

链接:http://www.securitytracker.com/id?1019029

来源: www.openssl.org

链接:http://www.openssl.org/news/secadv_20071129.txt

来源: VUPEN

名称: ADV-2007-4044

链接:http://www.frsirt.com/english/advisories/2007/4044