N/A
CVE编号
CVE-2024-36066利用情况
暂无补丁情况
N/A披露时间
2024-09-13漏洞描述
KeyFactor EJBCA中的CMP CLI客户端在版本8.3.1之前仅使用了6字节的盐值,因此不符合RFC 4211的安全要求,并可能使中间人攻击更容易。CMP包括基于密码的MAC作为消息完整性和身份验证的选项之一(另一个选项是基于证书)。RFC 4211的第4.4节要求基于密码的MAC参数使用至少8字节随机值的盐。这有助于抑制字典攻击。由于原始的独立CMP客户端是作为测试代码开发的,因此盐是硬编码的,只有6字节长。解决建议
建议您更新当前系统或软件至最新版,完成漏洞的修复。
参考链接 |
|
|---|---|
| https://datatracker.ietf.org/doc/html/rfc4211 | |
| https://support.keyfactor.com/hc/en-us/articles/26965687021595-EJBCA-Security... |
- 攻击路径 N/A
- 攻击复杂度 N/A
- 权限要求 N/A
- 影响范围 N/A
- 用户交互 N/A
- 可用性 N/A
- 保密性 N/A
- 完整性 N/A
| CWE-ID | 漏洞类型 |
Exp相关链接
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
评论