首页 -> 安全研究

安全研究

安全漏洞
FreeBSD/Alpha 内核缺乏伪随机数生成器漏洞

发布日期:2000-06-14
更新日期:2000-06-14

受影响系统:

FreeBSD FreeBSD 5.0 alpha
FreeBSD FreeBSD 4.0 alpha
描述:

FreeBSD for Alpha平台版本没有提供/dev/random和/dev/urandom设备。这两个
设备通常是用来为加密产生高随机数的。如果软件在打开并从这些设备中读取时没有
检查操作是否成功,就可能使用弱随机数来产生密钥。OpenSSL v0.9.4以及OpenSSH
对此缺乏检查,因此在FreeBSD/Alpha上使用的OpenSSL和SpenSSH的加密强度是有限
的,并不能作为一个非常安全的系统予以信任。

<* 来源: FreeBSD Security Advisory: FreeBSD-SA-00:25.alpha-dev-random *>





建议:

OpenSSL 0.9.5已经进行了检查,因此不存在这个问题
在FreeBSD for Alpha平台的下列版本中已经修复了这个漏洞:

2000-05-10 (4.0-STABLE)
2000-04-28 (5.0-CURRENT)

patch过的FreeBSD 4.0-STABLE版本的kernel源码可以从这里下载:
ftp://ftp.freebsd.org/pub/FreeBSD/CERT/patches/SA-00:25/kernel.gz

重新编译并使用新内核启动后,你应当重新产生所有OpenSSH生成的SSH密钥,
OpenSSL生成的SSL证书以及其他依赖伪随机数进行加密的数据。



浏览次数:6273
严重程度:0(网友投票)
本安全漏洞由绿盟科技翻译整理,版权所有,未经许可,不得转载
绿盟科技给您安全的保障