Legion of the Bouncy Castle TLS信息泄露漏洞

admin

0
文章

0
评论

2023-12-02 09:28:25 Ali_nvd 来源：ZONE.CI 全球网 0 阅读模式

低危 Legion of the Bouncy Castle TLS信息泄露漏洞

CVE编号

CVE-2017-13098

利用情况

POC 已公开

补丁情况

官方补丁

披露时间

2017-12-13

漏洞描述

Legion of the Bouncy Castle是澳大利亚Legion of the Bouncy Castle公司的一个用于Java平台的开源的轻量级密码包。TLS是其中的一个安全传输层协议。 Legion of the Bouncy Castle TLS 1.0.3之前的版本中存在信息泄露漏洞，该漏洞源于程序对加密函数使用了JCE（Java加密扩展）。攻击者可利用该漏洞从受影响的应用程序中找回密钥。

解决建议

目前厂商已发布升级补丁以修复漏洞，补丁获取链接：https://github.com/bcgit/bc-java/commit/a00b684465b38d722ca9a3543b8af8568e6bad5c

参考链接
http://lists.opensuse.org/opensuse-security-announce/2020-05/msg00011.html
http://www.kb.cert.org/vuls/id/144389
http://www.securityfocus.com/bid/102195
https://github.com/bcgit/bc-java/commit/a00b684465b38d722ca9a3543b8af8568e6bad5c
https://robotattack.org/
https://security.netapp.com/advisory/ntap-20171222-0001/
https://www.debian.org/security/2017/dsa-4072
https://www.oracle.com/security-alerts/cpuoct2020.html

受影响软件情况

1
#	类型	厂商	产品	版本	影响面
	运行在以下环境
	应用	bouncycastle	legion-of-the-bouncy-castle-java-crytography-api	*		Up to (excluding) 1.59
	运行在以下环境
	系统	debian_10	bouncycastle	*		Up to (excluding) 1.58-1
	运行在以下环境
	系统	debian_11	bouncycastle	*		Up to (excluding) 1.58-1
	运行在以下环境
	系统	debian_12	bouncycastle	*		Up to (excluding) 1.58-1
	运行在以下环境
	系统	debian_sid	bouncycastle	*		Up to (excluding) 1.58-1
	运行在以下环境
	系统	fedora_27	bouncycastle-mail	*		Up to (excluding) 1.59-1.fc27
	运行在以下环境
	系统	fedora_28	bouncycastle-mail	*		Up to (excluding) 1.59-1.fc28
	运行在以下环境
	系统	opensuse_Leap_15.0	bouncycastle	*		Up to (excluding) 1.60-lp150.2.3.1
	运行在以下环境
	系统	opensuse_Leap_15.1	bouncycastle	*		Up to (excluding) 1.60-lp151.3.3.1
	运行在以下环境
	系统	opensuse_Leap_42.3	bouncycastle	*		Up to (excluding) 1.59-23.3.1
	运行在以下环境
	系统	ubuntu_18.04.5_lts	bouncycastle	*		Up to (excluding) 1.59-1