漏洞关键信息 漏洞类型: 信息泄露 (information leakage) 漏洞影响范围: - OpenPKG CURRENT: openssl-0.9.7a-20030315 及更早版本 - OpenPKG 1.2: openssl-0.9.7-1.2.2 及更早版本 - OpenPKG 1.1: openssl-0.9.6g-1.1.2 及更早版本 修复后的版本: - OpenPKG CURRENT: >= openssl-0.9.7a-20030320 - OpenPKG 1.2: >= openssl-0.9.7-1.2.3 - OpenPKG 1.1: >= openssl-0.9.6g-1.1.3 受影响的依赖包: - OpenPKG CURRENT: apache, cadaver, cpu, curl,dsniff, easysoap, ethereal, exim, fetchmail, imap, imapd, inn, linc, links, lynx, mico, mixmaster, mozilla, mutt, nail, neon, openldap, openvpn, perl-ssl, postfix, postgresql, qpopper, samba, sendmail, siege, sio, sitecopy, socat, stunnel, subversion, sysmon, w3m, wget - OpenPKG 1.2: 与 CURRENT 类似,缺少部分包如 subversion 和 sysmon - OpenPKG 1.1: 与 1.2 类似,缺少 postgresql 和 qpopper 漏洞描述: - 攻击者利用扩展的"Bleichenbacher attack"对使用 PKCS #1 v1.5 填充的 RSA 密钥进行攻击,影响 SSL 3.0 和 TLS 1.0。 - 服务器对特制 RSA 密文的响应会泄露信息,使攻击者能够执行单个 RSA 私钥操作,但不直接暴露 RSA 密钥。 CVE 编号: CAN-2003-0147 解决方法: - 下载并安装对应的 RPM 包进行升级。 - 重新构建和安装所有受影响的依赖包。