发布日期：2019-09-10
更新日期：2020-09-21

受影响系统：

OpenSSL  1.1.1-1.1.1c
OpenSSL  1.1.0-1.1.0k
OpenSSL  1.0.2-1.0.2s

描述：

---

CVE(CAN) ID: CVE-2019-1547

OpenSSL是OpenSSL团队的一个开源的能够实现安全套接层（SSLv2/v3）和安全传输层（TLSv1）协议的通用加密库。该产品支持多种加密算法，包括对称密码、哈希算法、安全散列算法等。
OpenSSL 1.0.2至1.0.2s版本、1.1.0至1.1.0k版本和1.1.1至1.1.1c版本存在信息泄露漏洞。该漏洞源于程序使用显式参数代替命名曲线来构造缺少辅助因子的EC组。经过身份验证的攻击者可利用该漏洞在ECDSA签名操作期间获得完整的密钥恢复。

<**>

建议：

---

厂商补丁：

OpenSSL
-------
目前厂商已发布升级补丁以修复漏洞，补丁获取链接：

https://www.openssl.org/news/secadv/20190910.txt

浏览次数：799
严重程度：0（网友投票）