安全研究

安全漏洞
HP Tru64 SSH未明RSA密钥验证绕过漏洞

发布日期:2003-08-26
更新日期:2003-09-02

受影响系统:
HP Tru64 SSH
    - Compaq Tru64 Unix 5.1A
    - Compaq Tru64 Unix 5.1 PK6 (BL20)
    - Compaq Tru64 Unix 5.1 PK5 (BL19)
    - Compaq Tru64 Unix 5.1 A PK3 (BL3)
    - Compaq Tru64 Unix 5.1
描述:
BUGTRAQ  ID: 8492
CVE(CAN) ID: CVE-2003-0724

HP Tru64是一款HP公司开发的商业性质Unix操作系统。

运行SSH的HP Tru64系统中当使用数字证书和RSA密钥匙时由于SSH不正确处理RSA签名,本地或者远程攻击者可以绕过验证未授权访问系统。

目前没有详细漏洞细节提供。

<*来源:HP Security Bulletin (security-alert@hp.com
  
  链接:*>

建议:
临时解决方法:

如果您不能立刻安装补丁或者升级,NSFOCUS建议您采取以下措施以降低威胁:

*  HP建议使用DSA算法来代替RSA算法,直到系统采用补丁:

# ssh-keygen2 -t dsa

厂商补丁:

HP
--
HP已经为此发布了一个安全公告(SSRT3588)以及相应补丁:
SSRT3588:SSRT3588: (Tru64) A Potential Security Vulnerability With ssh

Tru64 UNIX 5.1A系统可从如下地址获得升级过的SSH程序:

http://h30097.www3.hp.com/unix/ssh/index.html

HP Tru64 UNIX 5.1B会在以后的5.1B PK3补丁集中提供。

浏览次数:3075
严重程度:0(网友投票)
本安全漏洞由绿盟科技翻译整理,版权所有,未经许可,不得转载
绿盟科技给您安全的保障