Debian OpenSSL软件包弱随机数漏洞 CVE-2008-0166 CNNVD-200805-113
7.8
AV
AC
AU
C
I
A
发布:
2008-05-13
修订:
2024-02-09
Debian是一个流行的Linux发行版本。 Debian的OpenSSL软件包中所使用的随机数生成器使用了弱加密的密钥材料生成SSH、OpenVPN、DNSSEC等密钥,攻击者可以通过暴力猜测攻击破解密钥,破坏数据的保密性。 Debian操作系统所捆绑的OpenSSL软件包从md_rand.c文件中删除了以下代码行: MD_Update(&m,buf,j); [ .. ] MD_Update(&m,buf,j); /* purify complains */ 删除这段代码对OpenSSL PRNG的种子过程产生负面影响,该过程没有从初始种子中混合随机数据,所使用的唯一随机值是当前的进程ID。在Linux平台上,默认的最大进程ID为32,768,因此所有的PRNG运算只使用了很少数量的种子值。
漏洞利用/PoC
当前有17条漏洞利用/PoC
受影响的平台与产品
当前有51条受影响产品信息
