发布日期：2002-05-10
更新日期：2002-05-15

受影响系统：

Gisle Aas Digest::MD5 2.19
Gisle Aas Digest::MD5 2.18
Gisle Aas Digest::MD5 2.17
Gisle Aas Digest::MD5 2.16
    - RedHat Linux 7.3 x86

不受影响系统：

Gisle Aas Digest::MD5 2.20

描述：

---

BUGTRAQ  ID: 4716
CVE(CAN) ID: CVE-2002-0703

Digest-MD5是一款用于验证数据完整性的工具，可使用在多种Linux／Unix操作系统下。

Digest-MD5在对UTF-8编码的字符串计算时不正确，可导致产生不正确的MD5摘要信息。

UTF-8在perl-Digest-MD5和Perl之间交互中存在漏洞，可导致处理UTF-8编码的字符串产生不正确的MD5摘要，使使用Digest-MD5验证数据完整性的操作失败。

用户可以通过如下命令查看系统是否存在此问题：

perl -le 'use Digest::MD5 qw/md5_hex/; $s = "test\x{101}"; chop $s; print (md5_hex($s) eq md5_hex("test") ? "ok" : "not ok")'

如果输出信息没有"ok"字样，需要升级。

<*来源：bugzilla@redhat.com （bugzilla@redhat.com）
  
  链接：https://www.redhat.com/support/errata/RHSA-2002-081.html
*>

建议：

---

临时解决方法：

如果您不能立刻安装补丁或者升级，NSFOCUS建议您采取以下措施以降低威胁：

* 暂时没有好的临时解决方法。

厂商补丁：

RedHat
------
RedHat已经为此发布了一个安全公告（RHSA-2002:081-06）以及相应补丁:
RHSA-2002:081-06：perl-Digest-MD5 UTF8 bug results in incorrect MD5 sums
链接：https://www.redhat.com/support/errata/RHSA-2002-081.html

补丁下载：

Red Hat Linux 7.3:

SRPMS:
ftp://updates.redhat.com/7.3/en/os/SRPMS/perl-Digest-MD5-2.20-1.src.rpm

i386:
ftp://updates.redhat.com/7.3/en/os/i386/perl-Digest-MD5-2.20-1.i386.rpm
可使用下列命令安装补丁：

rpm -Fvh [文件名]

Gisle Aas
---------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

Gisle Aas Upgrade Digest-MD5-2.20.tar.gz
http://www.cpan.org/authors/id/GAAS/Digest-MD5-2.20.tar.gz

浏览次数：3518
严重程度：0（网友投票）