nCipher PKCS#11实现访问控制漏洞

http://tech.caneb.com/ 时间：2006-6-1 点击数：   电子商务模式[技术]频道　

今日不可不关注的电子商务技术资讯：

信息提供：

安全公告（或线索）提供热线：51cto.editor@gmail.com

漏洞类别：

实现访问控制漏洞

攻击类型：

远程攻击

发布日期：

2002-12-20

更新日期：

2002-12-26

受影响系统：

nCipher nForce

nCipher nShield

nCipher MSCAPI CSP 5.54

nCipher MSCAPI CSP 5.50

nCipher payShield

nCipher SafeBuilder

安全系统：

无

漏洞报告人：

nCipher

漏洞描述：

BUGTRAQ  ID: 6448

nCipher公司提供系列的硬件和软件安全产品。

nCipher PKCS#11库的访问控制组件存在问题，使的在部分环境下，受此影响的设备和组件可能输出明文密钥。

nCipher模块可用于多个工业标准API，在这当中，nCipher提供与RSA实验室PKCS#11加密Token接口标准(Cryptoki)相兼容的加密库。

nCipher PKCS#11库存在实现错误，由于访问控制组件的问题，导致设备和应用程序导出明文密钥或保护密钥不正确不强壮。

使用nCipher PKCS#11库的应用程序可能受此漏洞影响。

下列应用程序由于没有通过PKCS#11集成nCipher所以不受此漏洞影响：

Apache

IBM Websphere (using BHAPI interface only)

iPlanet Proxy Server

Microsoft Exchange Server

Microsoft Internet Information Server (IIS)

Microsoft ISA Server

Microsoft Windows 2000 Certificate Server

Netscape Enterprise Server 3.x (但iPlanet受此漏洞影响)

Stronghold webserver

Tivoli Access Manager, Web Seal version 3.9

Oracle 9i R2 Database Advanced Security Option

使用如下API编写的应用程序不受此漏洞影响：

nCore/NFKM (以前称为`the nFast API')

CHIL (`hwcrhk')

Microsoft CAPI

OpenSSL

BHAPI

nCipher supplied JCA and/or JCE providers

nFast 800或以前的nFast产品只提供加速功能而不支持KEY管理的不受此漏洞影响。

测试方法：

无

解决方法：

请联系供应商获得补丁：

http://www.ncipher.com/support/advisories/

此补丁可使用在如下平台下：

AIX 4.3.3

AIX 5L (32 bit only)

HP-UX 10.20 / HP-UX 11

Linux libc6 / Linux libc6.1

Solaris 2.6 / Solaris 2.7 / Solaris 2.8 / Solaris 2.9

Trusted Solaris 2.8

Windows NT 4 / Windows 2000

关键词：访问控制列表
阅读本站更多关于：“nCipher PKCS#11实现访问控制漏洞”的文章>>>>

电子商务辩论台：

网友评论：（只显示最新10条。评论内容只代表网友观点，与本站立场无关！）

【发表评论】【加入收藏】【告诉好友】【打印此文】【关闭窗口】

焦点图片

实名制会员登录

载入中…

专 题 栏 目

 电子商务专业(本科)电子商务技术系列
 局域网专题
 WindwosXP应用技巧大全
 Linux系统全攻略
 下一代网络通信：NGN
 Ajax技术应用开发
 Web 2.0基础知识大全
 网络钓鱼
 访问控制列表介绍

最 新 热 门

最 新 推 荐

今日论坛

今日博客