51CTO首页
AI.x社区
博客
学堂
精品班
软考社区
免费课
企业培训
鸿蒙开发者社区
WOT技术大会
IT证书
公众号矩阵
移动端
短视频免费课程课程排行直播课软考学堂
全部课程厂商认证IT技术24年11月软考PMP项目管理免费题库
在线学习
文章资源问答课堂专栏直播
51CTO
鸿蒙开发者社区
51CTO技术栈
51CTO官微
51CTO学堂
51CTO博客
CTO训练营
鸿蒙开发者社区订阅号
51CTO软考
51CTO学堂APP
51CTO学堂企业版APP
鸿蒙开发者社区视频号
51CTO软考题库
账号设置 退出

OpenSC pkcs11-tool不安全密钥生成漏洞

作者:佚名
安全 漏洞
泄漏敏感信息##远程攻击##立即处理[msg]影响版本: OpenSC OpenSC 0.11.7 OpenSC OpenSC SVN trunk漏洞描述: Bugraq ID: 34884 CNCAN ID:CNCAN-2009050903 OpenSC是一款智能卡库和所及的应用程序。

影响版本:

OpenSC OpenSC 0.11.7

OpenSC OpenSC SVN trunk

漏洞描述:

Bugraq ID: 34884

CNCAN ID:CNCAN-2009050903

OpenSC是一款智能卡库和所及的应用程序。

OpenSC包含的’pkcs11-tool’模块存在设计错误,可导致使用不安全RSA公钥。

攻击者借此漏洞可获得对私有解密密钥的访问,成功利用漏洞允许攻击者获得敏感信息或未授权访问智能卡。

成功利用漏洞需要如下组合:

1,工具设置public指数为1来生成密钥。

2,PKCS#11模块接收这个公共指数并转发到卡上。

3,卡接收public指数并生成RSA密钥.

<*参考  http://www.opensc-project.org/pipermail/opensc-announce/2009-May/000025.html *>

SEBUG安全建议:

可联系供应商获得升级程序:

http://www.opensc-project.org/

【编辑推荐】

  1. 谷歌发布Android安全漏洞补丁修复两个DoS漏洞
  2. 微软紧急发布SMBv2安全漏洞补丁缓解风险
  3. 360安全卫士:打漏洞补丁防止微软“黑屏”
责任编辑:安泉 来源: 安全中国
漏洞补丁
相关推荐
安全协议不安全了:OpenSSL漏洞
昨天国外的黑客曝光OpenSSL漏洞,该漏洞可以获取HTTPS服务器的随机64K内存。这个漏洞被称为heartbleed,直译的话就是心脏出血。

2014-04-09 09:37:29

Nginx不安全配置可能导致的安全漏洞
Nginx(enginex)是一个高性能的http和反向服务器,也可以作为IMAPPOP3SMTP服务器。tengine是由淘宝网发起的Web服务器项目。它在Nginx的基础上,针对大访问量网站的需求,添加了很多高级功能和特性。

2018-01-26 10:49:19

加密算法中密钥交换有点不安全
传送者和接受者双方都需要拥有同一个密钥,那么这个过程要怎么实现呢?现实中我们可以这样做,把一个钥匙做两份,然后装在信封里边面对面交易,拿到信封后回到家里锁起房门盖上被子打开手电筒偷偷摸摸看看密钥然后记在脑海里,这样就几乎没人可以偷走了吧?

2018-03-30 15:12:00

安全密钥加密
专家吐槽iOS 11:数据不安全
ElcomSoft是一家俄罗斯公司,他们表示现在许多执法机构和其他公司都在使用iPhone,但苹果保护加密iOS备份的方式发生了改变,使得设备更容易受到某些类型的攻击。然而,它只适用于攻击者对设备有物理访问权限,并且能够破解密码。

2017-12-04 09:59:29

不安全的智能手机,不安全的物联网
物联网,Internetofthings(IoT),连接物品的网络,物物相连的互联网。物联网并非是一个孤立的网络,其本质与核心还是互联网,也就是说物联网其实属于互联网一个延伸网络,物联网使得网络的触角深入到更为广阔环境、更加细微的层面。其服务的对象主要是各类物品,其主要工作就是从各类物品中感知、搜集信息数据,在物品间进行信息的传递、交换和通信。

2015-07-01 14:48:51

GSM有漏洞 2G手机也不安全
近期不少智能手机频曝漏洞问题,作为2G低端手机用户则一直表示毫无压力,不过,近日有安全专家透露消息说,无论高低端手机,只要是GSM制式的就也不安全。当地时间本周二,德国安全研究实验室的负责人KarstenNohl在柏林的一次安全会议上表示,常见的GSM制式手机存在安全漏洞,且危害范围非常广泛。

2011-12-28 11:05:12

Java线程:线程安全不安全
当我们查看JDKAPI的时候,总会发现一些类说明写着,线程安全或者线程不安全,比如说StringBuilder中,有这么一句,“将StringBuilder的实例用于多个线程是不安全的。如果需要这样的同步,则建议使用StringBuffer。”,那么下面手动创建一个线程不安全的类,然后在多线程中使用这个类,看看有什么效果。

2012-04-16 10:12:54

Java线程
什么是不安全的 Rust?
不安全的Rust(UnsafeRust)提供了对内存更多的控制。了解如何使用不安全的Rust并理解与其使用相关的固有风险。

2023-06-01 19:24:16

影子物联网盛行,不安全
不可否认,物联网(IoT)周围的数据保护陷阱数不胜数,但安全供应商Zscaler的新研究强调,最严重的问题之一来自“影子物联网”的日益增长趋势,即员工自有设备在企业网络上的使用。

2020-11-03 12:32:25

影子物联网物联网IOT
HashMap 为什么线程不安全
我们都知道HashMap是线程不安全的,在多线程环境中不建议使用,但是其线程不安全主要体现在什么地方呢,本文将对该问题进行解密。

2020-04-22 20:35:02

HashMap线程安全
刷脸取款,安不安全
众所周知,取款也好,支付也罢,刷脸也好,传统支付方式也罢,确保资金安全的核心环节始终是账号和密码的交叉验证,这一点不会因服务渠道的改变而改变。

2021-04-04 23:16:52

安全刷脸银行
分析C#不安全代码
本文介绍C不安全代码,C是.Net平台上主流的开发语言,和经典的CC++不同的是,C所编写的代码是托管代码,由GC来管理内存,省去了newdelete的烦恼。

2009-08-03 16:58:59

C#不安全代码
StringBuilder 为什么线程不安全
StringBuilder是Java中的一个类,用于高效地操作字符串。它提供了一种可变的、可修改的字符串对象,允许您在不创建新字符串实例的情况下进行字符串的添加、插入、替换和删除操作。StringBuilder属于Java的java.lang包,是一个常用的字符串处理工具。

2024-01-19 08:42:45

Java线程字符串
云计算 更安全还是更不安全?
日前,轰动全球的好莱坞艳照风暴正在像病毒一样蔓延,众多全球当红女星艳照在网络风传。据外媒报道,此次苹果手机用户数据严重泄漏事件中,共有101位好莱坞女明星被卷入其中。

2014-09-12 17:44:23

安全产品不安全?NSS Labs评测:83%的防火墙有漏洞
近来,各大厂商的网站竞相出现安全问题。比如WordPress.com遭遇大规模DDoS攻击,MySQL.com和Sun.com遭到攻击等等。前两日更爆出7天酒店数据库被盗,黑客网上叫卖会员信息的新闻,看来企业的安全问题真的是不容小觑……

2011-04-13 16:09:17

HTTPS 也不安全?被发现新漏洞会暴露你的数据
意大利威尼斯CA'Foscari大学和奥地利TuWien大学的研究人员发现,超过10000个使用HTTPS的顶级网站仍然容易受到传输层安全漏洞的攻击。

2019-03-30 14:39:11

电脑装Windows 7“裸奔”不安全
微软新近上市的操作系统windows7虽然自带杀毒功能模块,仍被黑客“铆牢”。

2009-11-12 08:38:34

用户升级FlashPlayer后仍不安全
据Softpedia报道,近日,Adobe公司针对FlashPlayer组件出现的安全漏洞发布了一系列补丁程序,相信大家启动电脑后都可以看到升级提示。

2010-08-16 10:01:01

破解版Windows 7不安全
Windows7系统的激活破解方法已经被破解。其中,科技博客MyDigitalLife特别提到了两款破解工具——RemoveWAT和ChewWGA,它们可以在没有激活系统的情况下运行Windows7。但一些专家认为,这类非法激活工具存在很大的安全威胁。

2009-11-18 10:05:13

Linux不安全!你知道吗?
Linux病毒也是有一些的,比如勒索病毒,挖矿病毒,僵尸网络等病毒都有Linux品种。但为什么大家都没啥感知呢很简单,Linux用户太少了!

2021-12-08 07:31:40

Linux安全病毒
点赞
收藏

51CTO技术栈公众号

业务
速览
在线客服