检测

FreeBSD:pycrypto -- 有漏洞的 ElGamal 密钥生成 (f45c0049-be72-11e1-a284-0023ae8e59f0)

medium Nessus 插件 ID 59700

语言:

简介

远程 FreeBSD 主机缺少与安全相关的更新。

描述

PyCrypto 的 Dwayne C. Litzenberger 报告:

在用于加密和签名的 ElGamal 方案中,g 本应是整个 Z^*_p 群组的发生器。但在 PyCrypto 2.5 和更早版本中,g 只是 Z^*_p 的随机子群组的发生器。

因此签名空间(密钥用于签名时)或公钥空间(密钥用于加密时)可能从其预期 log(p) 位大小极大地减少,可能减少到 1 位(g 的顺序为 2 时的最坏情况)。

尽管尚未被确认,但有人提出攻击者可能使用此事实来确定私钥。

使用 ElGamal 密钥的任何人应在有机会时生成新的密钥。

我们将在此处跟踪与此缺陷有关的更多信息:https://bugs.launchpad.net/pycrypto/+bug/985164

解决方案

更新受影响的程序包。

另见

https://lists.dlitz.net/pipermail/pycrypto/2012q2/000587.html

https://bugs.launchpad.net/pycrypto/+bug/985164

http://www.nessus.org/u?a656233e

插件详情

严重性: Medium

ID: 59700

文件名: freebsd_pkg_f45c0049be7211e1a2840023ae8e59f0.nasl

版本: 1.6

类型: local

发布时间: 2012/6/26

最近更新时间: 2021/1/6

支持的传感器: Nessus

风险信息

VPR

风险因素: Low

分数: 2.2

CVSS v2

风险因素: Medium

基本分数: 4.3

矢量: CVSS2#AV:N/AC:M/Au:N/C:N/I:P/A:N

漏洞信息

CPE: cpe:/o:freebsd:freebsd, p-cpe:/a:freebsd:freebsd:py-pycrypto

必需的 KB 项: Host/local_checks_enabled, Host/FreeBSD/release, Host/FreeBSD/pkg_info

补丁发布日期: 2012/6/24

漏洞发布日期: 2012/5/24

参考资料信息

CVE: CVE-2012-2417