发布日期：2008-12-30
更新日期：2008-12-31

受影响系统：

IETF RFC 3279: X.509

描述：

---

BUGTRAQ  ID: 33065
CVE(CAN) ID: CVE-2004-2761

X.509是由国际电信联盟（ITU-T）制定的数字证书标准。

MD5哈希算法中可能存在冲突，导致用这种算法所签名的X.509数字证书并不安全。攻击者可以生成内容不同但数字签名与源证书相同的额外数字证书，如果WEB浏览器信任了伪造的证书的话，攻击者就可以扮演称为可信任的站点，包括用HTTPS协议加密的电子商务站点。

<*来源：Alexander Sotirov
  
  链接：http://www.microsoft.com/technet/security/advisory/961509.mspx?pf=true
        http://www.win.tue.nl/hashclash/rogue-ca/
        http://blogs.technet.com/swi/archive/2008/12/30/information-regarding-md5-collisions-problem.aspx
        http://www.phreedom.org/research/rogue-ca/
*>

建议：

---

临时解决方法：

* 不要使用MD5签名数字证书，使用SHA-1、SHA-256、SHA-384、SHA-512等算法。

厂商补丁：

IETF
----
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.ietf.org/

浏览次数：7274
严重程度：0（网友投票）