发布日期:2001-07-11
更新日期:2001-07-17
受影响系统:
OpenSSL Project OpenSSL 0.9.6a
OpenSSL Project OpenSSL 0.9.6
OpenSSL Project OpenSSL 0.9.5
OpenSSL Project OpenSSL 0.9.4
OpenSSL Project OpenSSL 0.9.3
OpenSSL Project OpenSSL 0.9.2b
OpenSSL Project OpenSSL 0.9.1c
SSLeay SSLeay 0.9.1
SSLeay SSLeay 0.9
SSLeay SSLeay 0.8.1
不受影响系统:
OpenSSL Project OpenSSL 0.9.6b
描述:
BUGTRAQ ID: 3004
CVE(CAN) ID: CVE-2001-1141
SSLeay/OpenSSL 0.9.6a以前的版本中的伪随机数发生器(PRNG)存在一个设计错误。
如果攻击者知道了某些特定PRNG请求的输出(包括一系列连续的很短的PRNG请求),
他就可以了解PRNG的内部状态,并可以预测PRNG后续的输出。
<*来源:Markku-Juhani O. Saarinen (markku-juhani.saarinen@nokia.com)
*>
建议:
升级到OpenSSL 0.9.6b或者更高版本:
http://www.openssl.org/source/openssl-engine-0.9.6b.tar.gz
http://www.openssl.org/source/openssl-0.9.6b.tar.gz