FreeBSD不安全随机数生成器信息泄露漏洞

- AV AC AU C I A
发布: 2025-04-13
修订: 2025-04-13

BUGTRAQ ID: 26642 CVE(CAN) ID: CVE-2007-6150 FreeBSD就是一种运行在Intel平台上、可以自由使用的开放源码Unix类系统。 FreeBSD的伪随机数生成模块实现上存在漏洞,本地攻击者可能利用此漏洞获取伪随机数据相关的信息。 在FreeBSD的sys_dev_random模块中,random(4)和urandom(4)设备在读取时会返回无穷的伪随机字节,加密算法通常依赖于这些伪随机值来确保安全。在某些环境下,random(4)和urandom(4)设备上内部状态追踪中的bug可能导致在之后的读取中重放分发的数据,这可能允许攻击者判断之前读取随机值的碎片,欺骗某些安全机制。请注意攻击者必须能够接近伪随机的来源,这通常意味着本地访问系统。 FreeBSD FreeBSD 6.2 FreeBSD FreeBSD 6.1 FreeBSD FreeBSD 5.5 FreeBSD ------- FreeBSD已经为此发布了一个安全公告(FreeBSD-SA-07:09)以及相应补丁: FreeBSD-SA-07:09:Random value disclosure 链接:<a href=ftp://ftp.freebsd.org/pub/FreeBSD/CERT/advisories/FreeBSD-SA-07:09.random.asc target=_blank>ftp://ftp.freebsd.org/pub/FreeBSD/CERT/advisories/FreeBSD-SA-07:09.random.asc</a> 补丁下载: 执行以下步骤之一: 1) 将有漏洞的系统升级到5-STABLE或6-STABLE,或修改日期之后的RELENG_6_2、RELENG_6_1或RELENG_5_5安全版本。 2) 为当前系统打补丁: 以下补丁确认可应用于FreeBSD 5.5、6.1和6.2系统。 a) 从以下位置下载相关补丁,并使用PGP工具验证附带的PGP签名。 # fetch <a href=http://security.FreeBSD.org/patches/SA-07:09/random.patch...

0%

漏洞利用/PoC

暂无可用Exp或PoC

受影响的平台与产品

当前有0条受影响产品信息