绿盟安全月刊->第39期->最新漏洞 多家厂商ATM硬件安全模块PIN产生/校验漏洞

日期：2003-03-03

发布日期：2003-02-20
更新日期：2003-02-25

受影响系统：
IBM Common Cryptographic Architecture 2.41
IBM Common Cryptographic Architecture 2.40
IBM CMOS Cryptographic Coprocessor
描述：
--------------------------------------------------------------------------------
BUGTRAQ  ID: 6901

ATM硬件安全模块（HSM）是用来保护用户PIN号码的。

HSM APIs的设计存在缺陷，攻击者可以通过产生和校验PIN号码来大大降低暴力破解的次数。

银行内部人员可以利用这个漏洞找出所有用户的PIN。

<*来源：Mike Bond
        Piotr Zielinski
  
  链接：http://marc.theaimsgroup.com/?l=bugtraq&m=104578359126171&w=2
        http://www.cl.cam.ac.uk/TechReports/UCAM-CL-TR-560.pdf
*>

建议：
--------------------------------------------------------------------------------
厂商补丁：

IBM
---
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.ers.ibm.com/