发布日期：2017-12-12
更新日期：2017-12-18

受影响系统：

Bouncy Castle Bouncy Castle < 1.0.3

描述：

---

BUGTRAQ  ID: 102195
CVE(CAN) ID: CVE-2017-13098

BouncyCastle是（轻量级密码术包）是用于 Java 平台的开放源码的轻量级密码术包。

BouncyCastle TLS < 1.0.3版本，配置为使用JCE加密后，协商任何使用RSA密钥交换的TLS密钥组时会提供弱Bleichenbacher oracle，这可使攻击者恢复密钥，此漏洞也称为ROBOT。

<*来源：Juraj Somorovsky
  *>

建议：

---

厂商补丁：

Bouncy Castle
-------------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

https://bugzilla.redhat.com/show_bug.cgi?id=1525528
https://github.com/bcgit/bc-java/commit/a00b684465b38d722ca9a3543b8af8568e6bad5c
https://access.redhat.com/security/cve/CVE-2017-13098
http://www.kb.cert.org/vuls/id/CHEU-AT5U7K
http://www.kb.cert.org/vuls/id/144389

浏览次数：1884
严重程度：0（网友投票）