Security Lab

Уязвимость в генераторе случайных чисел в OpenSSL FIPS Object Module

Дата публикации:30.11.2007
Дата изменения:11.01.2009
Всего просмотров:1984
Опасность:
Низкая
Наличие исправления: Инстуркции по устранению
Количество уязвимостей:1
CVE ID: Нет данных
Вектор эксплуатации: Удаленная
Воздействие: Обход ограничений безопасности
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты: OpenSSL FIPS Object Module 1.x
Уязвимые версии: OpenSSL FIPS Object Module 1.1.1

Описание:
Уязвимость позволяет удаленному пользователю обойти некоторые ограничения безопасности.

Уязвимость существует из-за ошибки в реализации генератора псевдо случайных чисел (PRNG), когда используются PRNG ключ и seed, соответствующие последнему тесту FIPS. Злоумышленник может предсказать сгенерированные случайным образом данные и произвести атаки на приложения, использующие уязвимый модуль.

URL производителя: www.openssl.org Производитель выпустил два исправления, адресованных этой уязвимости:
http://www.openssl.org/news/patch-CVE-2007-5502-1.txt
http://www.openssl.org/news/patch-CVE-2007-5502-2.txt

Журнал изменений:

11.01.2009
Изменена секция «Решение».

Ссылки: http://www.openssl.org/news/secadv_20071129.txt
http://www.kb.cert.org/vuls/id/150249