通過構造沒有公鑰的BER檔案造成系統宕機

2021-12-30 04:31:49 字數 610 閱讀 7174

在wade mealing在2023年1月25日時曾給oss security以及cve認證部門傳送了一封郵件。這封電子的主題為:通過構造乙個特殊的金鑰檔案來引起主機的拒絕服務。他在郵件中寫到:

您好,我希望有關部門可以為下列的問題分配乙個cve編號:

我對asn1.1 der 解碼器進行了分析和研究,研究之後發現,只需構造乙個特殊的金鑰檔案,我們就可以在x509證書的der簽名解析過程中引起目標系統的核心崩潰。

漏洞**:

…int public_key_verify_signature(const struct public_key *pk,

const struct public_key_signature *sig)

{ const struct public_key_algorithm *algo;

bug_on(!pk);

bug_on(!pk->mpi[0]);

攻擊者可以構造乙個不含有公鑰的ber檔案,然後使目標系統宕機。

在我寫這封郵件的時候,還沒有任何的補丁可以修復這個漏洞。

Windows 通過公鑰訪問Git Server

1.請先安裝git bash和tortoisegit程式。2.用執行git bash,在bash終端上執行 ssh keygen.exe 不要輸入密碼,最後會告訴你生成了公鑰和私鑰檔案,記住名稱。3.將公鑰檔案改名,根據檔案內容的最後乙個字串,然後按照我的這篇文章裡面的 5.加入新使用者 方式加入到...

由於沒有公鑰,無法驗證下列簽名

報錯 w gpg 錯誤 sid inrelease 由於沒有公鑰,無法驗證下列簽名 no pubkey 04ee7237b7d453ec no pubkey 648acfd622f3d138 w 倉庫 sid inrelease 沒有數字簽名。n 無法認證來自該源的資料,所以使用它會帶來潛在風險。n...

公鑰的管理

在認證方面,經常會出現這樣幾個詞 ca 證書 pki x.509等等,每次一看到這些詞就頭大,今天我試著將這幾個詞理一下。1 a要與b安全通訊,現在a需要知道跟它現在通訊的到底是b還是別人,也就是說a並不信任b 2 b要向a出示自己的證書,然後b說這是我的證書,簽字的單位 認證單位 是c單位。3 那...