发布日期：2007-11-29
更新日期：2007-12-07

受影响系统：

OpenSSL Project FIPS Object Module 1.1.1

描述：

---

BUGTRAQ  ID: 26652
CVE(CAN) ID: CVE-2007-5502

OpenSSL是一种开放源码的SSL实现，用来实现网络通信的高强度加密，现在被广泛地用于各种网络应用程序中。

OpenSSL FIPS对象模块的伪随机数生成器（PRNG）实现中存在错误，可能导致可预测的随机数。

由于FIPS自检没有正确编码，导致从不会进行自动生成种子。这意味着PRNG密钥与种子与最后一次自检相关，FIPS PRNG仅从数据时间信息获得额外的种子数据，因此所生成的随机数据比较容易预测，尤其是最初的几次调用。

<*来源：Geoff Lowe
  
  链接：http://www.openssl.org/news/secadv_20071129.txt
        http://secunia.com/advisories/27859/
*>

建议：

---

厂商补丁：

OpenSSL Project
---------------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://www.openssl.org/news/patch-CVE-2007-5502-1.txt
http://www.openssl.org/news/patch-CVE-2007-5502-2.txt

浏览次数：3251
严重程度：0（网友投票）