nCipher PKCS#11实现访问控制漏洞
2007-07-28 网络
|
信息提供: |
安全公告(或线索)提供热线:51cto.editor@gmail.com |
|
漏洞类别: |
实现访问控制漏洞 |
|
攻击类型: |
远程攻击 |
|
发布日期: |
2002-12-20 |
|
更新日期: |
2002-12-26 |
|
受影响系统: |
nCipher nForce
nCipher nShield
nCipher MSCAPI CSP 5.54
nCipher MSCAPI CSP 5.50
nCipher payShield
nCipher SafeBuilder |
|
安全系统: |
无 |
|
漏洞报告人: |
nCipher |
|
漏洞描述: |
BUGTRAQ ID: 6448
nCipher公司提供系列的硬件和软件安全产品。
nCipher PKCS#11库的访问控制组件存在问题,使的在部分环境下,受此影响的设备和组件可能输出明文密钥。
nCipher模块可用于多个工业标准API,在这当中,nCipher提供与RSA实验室PKCS#11加密Token接口标准(Cryptoki)相兼容的加密库。
nCipher PKCS#11库存在实现错误,由于访问控制组件的问题,导致设备和应用程序导出明文密钥或保护密钥不正确不强壮。
使用nCipher PKCS#11库的应用程序可能受此漏洞影响。
下列应用程序由于没有通过PKCS#11集成nCipher所以不受此漏洞影响:
Apache
IBM Websphere (using BHAPI interface only)
iPlanet Proxy Server
Microsoft Exchange Server
Microsoft Internet Information Server (IIS)
Microsoft ISA Server
Microsoft Windows 2000 Certificate Server
Netscape Enterprise Server 3.x (但iPlanet受此漏洞影响)
Stronghold webserver
Tivoli Access Manager, Web Seal version 3.9
Oracle 9i R2 Database Advanced Security Option
使用如下API编写的应用程序不受此漏洞影响:
nCore/NFKM (以前称为`the nFast API')
CHIL (`hwcrhk')
Microsoft CAPI
OpenSSL
BHAPI
nCipher supplied JCA and/or JCE providers
nFast 800或以前的nFast产品只提供加速功能而不支持KEY管理的不受此漏洞影响。 |
|
测试方法: |
无 |
|
解决方法: |
请联系供应商获得补丁:
http://www.ncipher.com/support/advisories/
此补丁可使用在如下平台下:
AIX 4.3.3
AIX 5L (32 bit only)
HP-UX 10.20 / HP-UX 11
Linux libc6 / Linux libc6.1
Solaris 2.6 / Solaris 2.7 / Solaris 2.8 / Solaris 2.9
Trusted Solaris 2.8
Windows NT 4 / Windows 2000
|
热词搜索:
上一篇:Cisco IOS RST-ACK包访问控制绕过漏洞
下一篇:虚拟呼叫中心正向着VoIP过渡
