Dual Elliptic Curve Deterministic Random Bit Generation存在漏洞

admin

0
文章

0
评论

2023-12-07 13:04:56 Ali_nvd 来源：ZONE.CI 全球网 0 阅读模式

低危 Dual Elliptic Curve Deterministic Random Bit Generation存在漏洞

CVE编号

CVE-2007-6755

利用情况

暂无

补丁情况

官方补丁

披露时间

2013-10-12

漏洞描述

Dual Elliptic Curve Deterministic Random Bit Generation（Dual_EC_DRBG）是美国国家标准技术研究院（NIST）所研发的一套随机数生成技术标准。该标准主要用在加密工具中，在加密数据时生成随机数。 Dual_EC_DRBG中的NIST SP 800-90A默认配置中存在安全漏洞，该漏洞源于算法中包含的‘point Q’常量可以确定‘万能密钥’值。上下文相关的攻击者可通过已知的值利用该漏洞破坏加密保护机制。

解决建议

用户可参考如下供应商提供的安全公告获得补丁信息：http://stream.wsj.com/story/latest-headlines/SS-2-63399/SS-2-332655/

参考链接
http://arstechnica.com/security/2013/09/stop-using-nsa-influence-code-in-our-...
http://blog.cryptographyengineering.com/2013/09/rsa-warns-developers-against-...
http://blog.cryptographyengineering.com/2013/09/the-many-flaws-of-dualecdrbg.html
http://rump2007.cr.yp.to/15-shumow.pdf
http://stream.wsj.com/story/latest-headlines/SS-2-63399/SS-2-332655/
http://threatpost.com/in-wake-of-latest-crypto-revelations-everything-is-suspect
http://www.securityfocus.com/bid/63657
https://www.schneier.com/blog/archives/2007/11/the_strange_sto.html

受影响软件情况

1
#	类型	厂商	产品	版本	影响面
	运行在以下环境
	应用	rsa	bsafe_crypto-c_me	*		Up to (including) 3.0.0.20
	运行在以下环境
	应用	rsa	bsafe_crypto-c_me	3.0	-
	运行在以下环境
	应用	rsa	bsafe_crypto-c_me	3.0.0.1	-
	运行在以下环境
	应用	rsa	bsafe_crypto-c_me	3.0.0.14	-
	运行在以下环境
	应用	rsa	bsafe_crypto-c_me	3.0.0.15	-
	运行在以下环境
	应用	rsa	bsafe_crypto-c_me	3.0.0.16	-
	运行在以下环境
	应用	rsa	bsafe_crypto-c_me	3.0.0.19	-
	运行在以下环境
	应用	rsa	bsafe_crypto-c_me_mfp_psos	*		Up to (including) 3.0.0.2
	运行在以下环境
	应用	rsa	bsafe_crypto-c_me_mfp_psos	3.0.0.1	-
	运行在以下环境
	应用	rsa	bsafe_crypto-c_me_mfp_vxworks	*		Up to (including) 3.0.0.1
	运行在以下环境
	应用	rsa	bsafe_crypto-j	*		Up to (including) 4.1
	运行在以下环境
	应用	rsa	bsafe_crypto-j_jsafe_and_jce	*		Up to (including) 6.0
	运行在以下环境
	应用	rsa	bsafe_crypto-j_jsafe_and_jce	5.0	-
	运行在以下环境
	应用	rsa	bsafe_crypto-j_jsafe_and_jce	5.0.1	-
	运行在以下环境
	系统	debian_10	openssl	*		Up to (including) 1.1.1n-0+deb10u3
	运行在以下环境
	系统	debian_11	openssl	*		Up to (including) 1.1.1w-0+deb11u1
	运行在以下环境
	系统	debian_12	openssl	*		Up to (including) 3.0.11-1~deb12u1
	运行在以下环境
	系统	debian_9	openssl	*		Up to (including) 1.1.0l-1~deb9u1
	运行在以下环境
	系统	debian_sid	openssl	*		Up to (including) 3.0.12-2