发布日期：2009-02-07
更新日期：2009-02-18

受影响系统：

Dwayne C. Litzenberger PyCrypto 2.0.x

描述：

---

BUGTRAQ  ID: 33674
CVE(CAN) ID: CVE-2009-0544

PyCrypto是使用Python编写的加密工具包。

PyCrypto的ARC2模块中存在缓冲区溢出漏洞，如果远程攻击者在发送的请求中包含有超长的ARC2密钥长度的话，就可以触发这个溢出，导致拒绝服务或执行任意指令。

<*来源：Mike Wiacek （mjwiacek@google.com）
  *>

测试方法：

---

警 告

以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！

http://gitweb2.dlitz.net/?p=crypto/pycrypto-2.x.git;a=blob;f=SelfTest/Cipher/test_ARC2.py;h=84d42410

建议：

---

厂商补丁：

Dwayne C. Litzenberger
----------------------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://gitweb2.dlitz.net/?p=crypto/pycrypto-2.x.git;a=commitdiff;h=d1c4875e1f220652fe7ff8358f56dee3b2aba31b

浏览次数：2334
严重程度：0（网友投票）