记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

通过构造一个没有公钥的BER文件来引起系统死机

2016-01-26 16:50

通过构造一个没有公钥的BER文件来引起系统死机

2016-01-26 12:50:05 作者:Mickeyyyyy
阅读:576次 点赞(0) 收藏

分享到:

http://p6.qhimg.com/t01c65eef12980e4791.gif

在Wade Mealing在2016年1月25日时曾给OSS Security以及CVE认证部门发送了一封邮件。这封电子的主题为:通过构造一个特殊的密钥文件来引起主机的拒绝服务。他在邮件中写到:

您好,

我希望有关部门可以为下列的问题分配一个CVE编号:

我对ASN1.1 DER 解码器进行了分析和研究,研究之后发现,只需构造一个特殊的密钥文件,我们就可以在x509证书的DER签名解析过程中引起目标系统的内核崩溃。

漏洞代码:


int public_key_verify_signature(const struct public_key *pk,
                                const struct public_key_signature *sig)
{
        const struct public_key_algorithm *algo;
        BUG_ON(!pk);
        BUG_ON(!pk->mpi[0]);

攻击者可以构造一个不含有公钥的BER文件,然后使目标系统死机。

在我写这封邮件的时候,还没有任何的补丁可以修复这个漏洞。

参考信息:

https://bugzilla.redhat.com/show_bug.cgi?id=1300237


本文由 360安全播报 翻译,转载请注明“转自360安全播报”,并附上链接。
原文链接:http://www.openwall.com/lists/oss-security/2016/01/25/2

知识来源: bobao.360.cn/news/detail/2673.html

阅读:91789 | 评论:0 | 标签:无

想收藏或者和大家分享这篇好文章→复制链接地址

“通过构造一个没有公钥的BER文件来引起系统死机”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

九层之台,起于累土;黑客之术,始于阅读

推广

工具

标签云

本页关键词