影响版本:

OpenSC OpenSC 0.11.7

OpenSC OpenSC SVN trunk

漏洞描述:

Bugraq ID: 34884

CNCAN ID：CNCAN-2009050903

OpenSC是一款智能卡库和所及的应用程序。

OpenSC包含的’pkcs11-tool’模块存在设计错误，可导致使用不安全RSA公钥。

攻击者借此漏洞可获得对私有解密密钥的访问，成功利用漏洞允许攻击者获得敏感信息或未授权访问智能卡。

成功利用漏洞需要如下组合：

1，工具设置public指数为1来生成密钥。

2，PKCS#11模块接收这个公共指数并转发到卡上。

3，卡接收public指数并生成RSA密钥.

<*参考  http://www.opensc-project.org/pipermail/opensc-announce/2009-May/000025.html *>

SEBUG安全建议:

可联系供应商获得升级程序：

http://www.opensc-project.org/

【编辑推荐】

1. 谷歌发布Android安全漏洞补丁修复两个DoS漏洞
2. 微软紧急发布SMBv2安全漏洞补丁缓解风险
3. 360安全卫士：打漏洞补丁防止微软“黑屏”

　　推荐阅读

　　PJBlog博客系统后台Action.aspSQL注入缺陷

影响版本: 3.0 Beta漏洞描述: PJBlog一套开源免费的中文个人博客系统程序，采用asp+Access的技术，PJBlog同时支持简繁中文，UTF-8编码，相对于其他系统，PJBlog具有相当高的运作效能以及更新率，也支持目前Blog所使用>>>详细阅读

本文标题：OpenSC pkcs11-tool不安全密钥生成漏洞

地址：http://www.17bianji.com/anquan/buding/1640.html

 1/2    1