安全漏洞

CVE

当前位置  >  首页  >  服务支持  >  安全漏洞  >  CVE

CVE ID(CVE-2023-6237

CVE编号:CVE-2023-6237 安全级别:中等 发布日期:2024-05-15

详细介绍

1.漏洞描述 问题摘要:检查过长的无效RSA公钥可能需要很长时间。影响摘要:使用函数EVP_PKEY_public_check()检查RSA公钥的应用程序可能会经历长时间延迟。如果正在检查的密钥是从不受信任的来源获得的,这可能会导致拒绝服务。当对RSA公钥调用函数EVP_PKEY_public_check()时,将进行计算以确认RSA模数n是复合的。对于有效的RSA密钥,n是两个或多个大素数的乘积,并且此计算很快完成。然而,如果n是一个过大的素数,那么这个计算将花费很长时间。调用EVP_PKEY_public_check()并提供从不可信来源获得的RSA密钥的应用程序可能容易受到拒绝服务攻击。函数EVP_PKEY_public_check()不是从其他OpenSSL函数调用的,而是从OpenSSL PKEY命令行应用程序调用的。因此,如果在不受信任的数据上与“-pubin”和“-check”选项一起使用,该应用程序也会受到攻击。OpenSSL SSL/TLS实现不受此问题的影响。OpenSSL 3.0和3.1 FIPS提供程序受此问题影响。 2.影响产品(系统版本 是否受影响) 银河麒麟高级服务器操作系统 V10 SP1 不影响 银河麒麟高级服务器操作系统 V10 SP2 不影响 银河麒麟高级服务器操作系统 V10 SP3 不影响 银河麒麟高级服务器操作系统(Host版)V10 不影响 银河麒麟高级服务器操作系统 V10 HPC 不影响 银河麒麟云底座操作系统 V10 不影响 3.漏洞评分( 漏洞编号 危害程度 CVSS 3.1 评分 漏洞类型) CVE-2023-6237 中等 4.3 其他 漏洞评分向量:CVSS:3.0/AV:N/AC:L/PR:H/UI:R/S:U/C:L/I:L/A:L 4.修复方案 无需修复
上一篇: CVE-2023-41821 下一篇: CVE-2023-6476

试用

服务

动态

联系