OpenSSL PRNG(伪随机数发生器)内部状态泄漏问题

发布日期：2001-07-11
更新日期：2001-07-17

受影响系统：

OpenSSL Project OpenSSL 0.9.6a
OpenSSL Project OpenSSL 0.9.6
OpenSSL Project OpenSSL 0.9.5
OpenSSL Project OpenSSL 0.9.4
OpenSSL Project OpenSSL 0.9.3
OpenSSL Project OpenSSL 0.9.2b
OpenSSL Project OpenSSL 0.9.1c
SSLeay SSLeay 0.9.1
SSLeay SSLeay 0.9
SSLeay SSLeay 0.8.1

不受影响系统：

OpenSSL Project OpenSSL 0.9.6b

描述：

---

BUGTRAQ ID: 3004
CVE(CAN) ID: CVE-2001-1141

SSLeay/OpenSSL 0.9.6a以前的版本中的伪随机数发生器(PRNG)存在一个设计错误。
如果攻击者知道了某些特定PRNG请求的输出(包括一系列连续的很短的PRNG请求)，
他就可以了解PRNG的内部状态，并可以预测PRNG后续的输出。

<*来源：Markku-Juhani O. Saarinen (markku-juhani.saarinen@nokia.com)
*>



建议：

---

升级到OpenSSL 0.9.6b或者更高版本：

http://www.openssl.org/source/openssl-engine-0.9.6b.tar.gz
http://www.openssl.org/source/openssl-0.9.6b.tar.gz

标签：

版权申明：本站文章部分自网络，如有侵权，请联系：west999com@outlook.com
特别注意：本站所有转载文章言论不代表本站观点，本站所提供的摄影照片，插画，设计作品，如需使用，请与原作者联系，版权归原作者所有