发布日期：2012-05-30
更新日期：2012-05-31

受影响系统：

sourceforge libcrypt

描述：

---

BUGTRAQ  ID: 53729
CVE ID: CVE-2012-2143

libcrypt是ANSI C加密库。

libcrypt在实现上存在密码加密漏洞，在处理某些包含无法用7位ASCII代表的字符时，crypt()函数中使用的DES实现存在编程错误，攻击者可利用此漏洞绕过使用受影响crypt()函数加密其用户密码的应用验证机制，当输入包含仅最高有效位设置了(0x80)的字符时，该字符和其后字符都会被忽略。系统不使用crypt()或仅使用crypt()处理7位ASCII的不会受到影响。

<*来源：Rubin Xu
  
  链接：http://git.postgresql.org/gitweb/?p=postgresql.git&a=commitdiff&h=932ded2ed51e8333852e370c7a6dad75d9f236f9
        http://www.securityfocus.com/archive/1/522919
        https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2012-2143
*>

建议：

---

厂商补丁：

sourceforge
-----------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://jocr.sourceforge.net/index.html

浏览次数：2393
严重程度：0（网友投票）