HP Tru64 SSH未明RSA密钥验证绕过漏洞
来源:nsfoucus 时间:2003-09-02 13:09:00
受影响系统:
HP Tru64 SSH
- Compaq Tru64 Unix 5.1A
- Compaq Tru64 Unix 5.1 PK6 (BL20)
- Compaq Tru64 Unix 5.1 PK5 (BL19)
- Compaq Tru64 Unix 5.1 A PK3 (BL3)
- Compaq Tru64 Unix 5.1
描述:
HP Tru64是一款HP公司开发的商业性质Unix操作系统。运行SSH的HP Tru64系统中当使用数字证书和RSA密钥匙时由于SSH不正确处理RSA签名,本地或者远程攻击者可以绕过验证未授权访问系统。
目前没有详细漏洞细节提供。
<*来源:HP Security Bulletin (security-alert@hp.com)
链接:*>
临时解决方法:
如果您不能立刻安装补丁或者升级,NSFOCUS建议您采取以下措施以降低威胁:
* HP建议使用DSA算法来代替RSA算法,直到系统采用补丁:
# ssh-keygen2 -t dsa
厂商补丁:HP
--
HP已经为此发布了一个安全公告(SSRT3588)以及相应补丁:
SSRT3588:SSRT3588: (Tru64) A Potential Security Vulnerability With ssh
Tru64 UNIX 5.1A系统可从如下地址获得升级过的SSH程序:
http://h30097.www3.hp.com/unix/ssh/index.html
HP Tru64 UNIX 5.1B会在以后的5.1B PK3补丁集中提供。