Bouncy Castle 加密库修复高危的认证绕过漏洞

最新推荐文章于 2024-02-29 05:45:00 发布
最新推荐文章于 2024-02-29 05:45:00 发布
阅读量664 收藏
点赞数
文章标签: 安全 信息安全 https md5 反编译

 聚焦源代码安全,网罗国内外最新资讯!

编译:奇安信代码卫士团队

最近,Bouncy Castle 加密库修复了一个高危的认证绕过漏洞。

该项目建立于2000年,表示 Java 和 C# 加密中使用的 API 集合,主要强调标准合规和适应性。Synopsys CyRC 团队的安全研究员上周指出,它们在该库的 openBSDBcrypt 类中发现了一个认证漏洞,可被滥用于绕过有赖于该库的应用程序中的密码检查。该漏洞编号是 CVE-2020-28052,CVSS 评分为8.1。

OpenBSDBcrypt 类利用 Bcrypt 算法进行密码哈希,研究员表示该漏洞是因为 OpenBSDBcrypt.doCheckPassword 方法中实现的认证例程有缺陷造成的。研究人员解释称,“代码检查字符索引中是否包含0到59(均含),而不是检查位置0到59之间的字符是否匹配。这就意味着,由哈希引发的密码(例如并不包含 0x00 和 0x38 之间的字节)与其它所有不包含它们的密码哈希匹配。

也就是说,即使和所存储哈希值不是逐字节匹配,攻击者仍然能够通过检查。漏洞遭成功利用可导致认证遭绕过,从而使攻击者以合法用户的身份如管理员身份执行一系列操作。

安全研究人员指出,攻击者需要暴力猜解密码之后才能触发该认证绕过漏洞,“我们的实验表明,20%的所测试密码在1000次暴力攻击之后即可被破解。另外,调查发现,只要有足够的尝试次数,就能绕过所有的密码哈希。在极少的情况下,任何输入均可绕过某些密码哈希。“

影响版本

该漏洞影响 Bouncy Castle 版本1.65 和 1.66,之前版本不受影响。Bouncy Castle 1.67 在2020年11月1日发布,补丁包含其中。

建议厂商和用户尽快更新至 Bouncy Castle Java 版本1.67或后续版本。

推荐阅读

怕不怕?GitHub 公开库 API 和加密密钥泄漏了这么多秘密

越南政府认证机构遭软件供应链攻击

微软发布带外更新,紧急修复 Kerberos 认证问题

原文链接

https://www.securityweek.com/authentication-bypass-vulnerability-patched-bouncy-castle-library

题图:Pixabay License

本文由奇安信代码卫士编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的

产品线。

    觉得不错,就点个 “在看” 或 "赞” 吧~

奇安信代码卫士
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
org.bouncycastle 加密算法包 最新1.69版
07-15
org.bouncycastle 加密算法包,csdn上很多这个包的下载都不全,我这完整包里包含了9个jar包 1.69官网最新版本
新思科技发现Bouncy Castle的新漏洞
SIGinChina的博客
01-05 600
近日,新思科技(Synopsys)发现Bouncy Castle存在漏洞,攻击者可以利用该漏洞绕过身份验证,并可以合法用户的身份执行一系列操作,盗取数据或篡改信息。 CVE-2020-28052披露在Bouncy Castle轻量级密码术包的OpenBSDBcrypt类中发现绕过身份验证的漏洞,攻击者可以避开密码检查。 概述 新思科技网络安全研究中心(CyRC)研究人员发现了CVE-2020-28052漏洞,即广泛使用的Java密码Bouncy Castle中的OpenBSDBcrypt类的绕
Java 加密 Bouncy Castle安装使用教程
Rm_mR的博客
06-18 3144
Java 安装使用 Bouncy Castle Exception in thread "main" java.security.NoSuchAlgorithmException: Cannot find any provider supporting SM4/ECB/PKCS5PADDING
加密安全_面向密码学的开源BouncyCastle
最新发布
小工匠
02-29 3400
在某些情况下,Java标准提供的哈希算法可能无法满足特定需求。方法一:自行实现这种方法需要对特定算法的原理和实现细节有深入的了解,然后才能编写出符合要求的算法。然而,这种方式的难度较大,尤其是对于复杂的加密算法而言,需要大量的时间和精力来完成。方法二:使用第三方借助第三方,我们可以方便地使用各种不同的哈希算法和加密算法,而无需自行实现。BouncyCastle就是一个提供了丰富的哈希算法和加密算法的第三方。它包含了Java标准没有的一些算法,如RipeMD160哈希算法。
Java安全应用——Bouncy Castle Crypto API
stay hungry,stay foolish !
01-13 1411
[-] 前言j2me安全机制简介Bouncy Castle Crypto API示例代码 1生成密钥对2签名3验证签名4加密5解密6证书解析 总结参考资料 1、前言 随着移动商业的不断发展,对于移动用户和无线应用程序开发人员而言,安全性正在成为一个重要方面。无线通信是无线电波拦截容易获取的目标,而无线设备几乎没有任何计算能力来支持所有通信数
Bouncy Castle的C#版API产生公钥和私钥
拂去尘埃,打落地上
08-05 1万+
开源API链接地址:The Legion of the Bouncy Castle     Bouncy Castle,简称为BC,原本是java的一个开源JCE提供者,后来也提供了C#版本的API,我下载其编译好的DLL,在C#项目中直接引用,用其几个API,产生我指定位数的公钥和私钥(目前是1024位,但产生CA的密钥时,要2048位才能满足安全需求)。虽然开源很好很强大,但这个API就是文档很缺陷,C#的文档更是少得可怜,没办法,下载源代码慢慢看吧。。。     在接下来的几篇关于CA文章中,大体按下
bouncy castle 轻量级密码术包
胭脂草的ABC博客
05-15 389
bouncy castle 编辑讨论 本词条缺少概述图,补充相关内容使词条更完整,还能快速升级,赶紧来编辑吧! bouncy castle(轻量级密码术包)是一种用于 Java 平台的开放源码的轻量级密码术包;它支持大量的密码术算法,并提供JCE 1.2.1的实现。 中文名 轻量级密码术包 外文名 bouncy castle 作用 用于 Java 平台的开放源码 特...
BouncyCastle.Crypto.dll
07-10
BouncyCastle 加密算法.net组件 版本10.0
C# BouncyCastle.Crypto.dll用于SM4、SM2加密
05-27
C# BouncyCastle.Crypto.dll用于SM4、SM2加密
portable.bouncycastle.1.9.0
10-23
C# 实现国密SM2加解密封装必用,在线下载不了的话,,可以来这里下载
BouncyCastle
09-19
基于 BouincyCastle 的jar ,构造SM2的证书,此jar包含了多个 BC 的jar,有关说明请看:https://blog.csdn.net/ca1m0921/article/details/101033060
bc-java:Bouncy Castle Java发行版(镜像)
02-03
Java的Bouncy Castle加密软件包 Bouncy Castle Crypto软件包是加密算法的Java实现,它是由澳大利亚注册慈善机构Bouncy Castle军团开发的,几乎没有帮助! 可以在上找到该军团以及该软件包的最新动态。 军团还感激其他人为这一一揽子计划所做的贡献(请参阅以获取当前名单)。 如果您想为我们的努力做出贡献,请随时与我们联系或访问我们的,赞助一些特定的工作,或通过购买支持合同。 该软件包经过组织,以使其包含适合在任何环境(包括新发布的J2ME)中使用的轻量级API,并带有其他基础结构,以使算法符合JCE框架。 除非另有说明,否则本软件是根据基于MIT
开源加密Bouncy Castle Crypto APIs (RSA加密
10-23
RSA加密 Java钥转C#用到. 格式转换要用到一个开源加密Bouncy Castle Crypto APIs
Java代码漏洞检测-常见漏洞修复建议
晨港飞燕的专栏
11-19 4147
在工作中,我们的交付团队在交付项目时,可能会遇到甲方会使用一些第三方工具(奇安信等)对项目代码进行扫描,特别是一些对安全性要求比较高的企业,比如涉及到一些证券公司、银行、金融等。他们会在项目上线前进行代码安全检测,通过了对方才会发布上线。原文链接:https://blog.csdn.net/qq_39560975/article/details/131956264。
使用 Java Bouncy Castle实现国密算法SM4、SM3以及SM2的加密
Rm_mR的博客
06-19 7892
国密算法SM2、SM3、SM4的实现 借助Java函数 Bouncy Castle
资源管理错误漏洞修复CVE-2002-20001
茉清语
08-09 1472
Diffie-Hellman Key Agreement Protocol 资源管理错误漏洞
Bouncy Castle 密码包的配置及使用详解
热门推荐
一切有为法,如梦亦如幻,如露亦如电,应作如是观。
01-20 3万+
1、简述 BouncyCastle(轻量级密码术包)是一种用于 Java 平台的开放源码的轻量级密码术包;Bouncycstle 包含了大量的密码算法,其支持椭圆曲线密码算法,并提供JCE 1.2.1的实现。 2、为什么要使用BouncyCastle? 我们知道,Java标准提供了一系列常用的哈希算法。但如果我们要用的某种算法,Java标准没有提供怎么办? 方法一:自己写一个,难度很大; 方法二:找一个现成的第三方,直接使用。 BouncyCastle就是一个提供了很多哈希算法和加密算法的
2021-04 补丁日: Oracle多个产品漏洞安全风险通告
爱国小白帽
04-21 720
报告编号:B6-2021-042101 报告来源:360CERT 报告作者:360CERT 更新日期:2021-04-21 0x01 事件简述 2021年04月21日,360CERT监测发现Oracle官方发布了2021年4月份的安全更新。 此次安全更新发布了390个漏洞补丁,其中Oracle Fusion Middleware有45个漏洞补丁更新,主要涵盖了Oracle Weblogic Server、Oracle Outside In Technology、Oracle Coherence、Orac.
java 公钥解密 签名错误,java – BouncyCastle错误:无法识别基于ECDSA的签名者中的密钥类型...
weixin_33554506的博客
03-14 334
我按照以下步骤解决了同样的问题:1)创建静态提供者:private static BouncyCastleProvider bouncyCastleProvider;public static final BouncyCastleProvider BOUNCY_CASTLE_PROVIDER = new BouncyCastleProvider();static {bouncyCastleProv...
java bouncycastle安装
04-30
import org.bouncycastle.jce.provider.BouncyCastleProvider; import javax.crypto.Cipher; import javax.crypto.spec.IvParameterSpec; import javax.crypto.spec.SecretKeySpec; import java.security.Security;...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值