发布日期:2012-05-30
更新日期:2012-05-31
受影响系统:
sourceforge libcrypt
描述:
--------------------------------------------------------------------------------
BUGTRAQ ID: 53729
CVE ID: CVE-2012-2143
libcrypt是ANSI C加密库。
libcrypt在实现上存在密码加密漏洞,在处理某些包含无法用7位ASCII代表的字符时,crypt()函数中使用的DES实现存在编程错误,攻击者可利用此漏洞绕过使用受影响crypt()函数加密其用户密码的应用验证机制,当输入包含仅最高有效位设置了(0x80)的字符时,该字符和其后字符都会被忽略。系统不使用crypt()或仅使用crypt()处理7位ASCII的不会受到影响。
<*来源:Rubin Xu
链接:?p=postgresql.git&a=commitdiff&h=932ded2ed51e8333852e370c7a6dad75d9f236f9
https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2012-2143
*>
建议:
--------------------------------------------------------------------------------
厂商补丁:
sourceforge
-----------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载: