CVE-2004-0320
CVSS2.1
发布时间 :2004-11-23 00:00:00
修订时间 :2016-10-17 22:43:47
NMCO    

[原文]Unknown vulnerability in nCipher Hardware Security Modules (HSM) 1.67.x through 1.99.x allows local users to access secrets stored in the module's run-time memory via certain sequences of commands.


[CNNVD]nCipher硬件安全模块固件密钥泄露漏洞(CNNVD-200411-111)

        
        nCipher公司提供系列的硬件和软件安全产品。
        nCipher HSM固件中部分版本由于实现错误,攻击者可以利用这个漏洞获得部分密钥信息。
        攻击者可以发送特殊的命令给HSM,可获得模块实时内存中的密钥信息,如包括应用程序密钥数据。目前没有详细漏洞细节提供。
        

- CVSS (基础分值)

CVSS分值: 2.1 [轻微(LOW)]
机密性影响: PARTIAL [很可能造成信息泄露]
完整性影响: NONE [不会对系统完整性产生影响]
可用性影响: NONE [对系统可用性无影响]
攻击复杂度: LOW [漏洞利用没有访问限制 ]
攻击向量: LOCAL [漏洞利用需要具有物理访问权限或本地帐户]
身份认证: NONE [漏洞利用无需身份认证]

- CPE (受影响的平台与产品)

cpe:/h:ncipher:nshield:2.12
cpe:/h:ncipher:nshield:2.0
cpe:/h:ncipher:nshield:1.77.93
cpe:/h:ncipher:nshield:1.79.81
cpe:/h:ncipher:nshield:1.79.80
cpe:/h:ncipher:nshield:2.12.2
cpe:/h:ncipher:nshield:1.71.15
cpe:/h:ncipher:nshield:1.79.12
cpe:/h:ncipher:nshield:1.77.9
cpe:/h:ncipher:nshield:1.75.15
cpe:/h:ncipher:nshield:1.71.11
cpe:/h:ncipher:nshield:1.77.97
cpe:/h:ncipher:nshield:2.0.4
cpe:/h:ncipher:nshield:1.71.90

- OVAL (用于检测的技术细节)

未找到相关OVAL定义

- 官方数据库链接

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2004-0320
(官方数据源) MITRE
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2004-0320
(官方数据源) NVD
http://www.cnnvd.org.cn/vulnerability/show/cv_cnnvdid/CNNVD-200411-111
(官方数据源) CNNVD

- 其它链接及资源

http://marc.info/?l=bugtraq&m=107755899018249&w=2
(UNKNOWN)  BUGTRAQ  20040223 nCipher Advisory #9: Host-side attackers can access secret data
http://www.securityfocus.com/bid/9717
(VENDOR_ADVISORY)  BID  9717
http://xforce.iss.net/xforce/xfdb/15281
(VENDOR_ADVISORY)  XF  ncipher-hsm-obtain-info(15281)

- 漏洞信息

nCipher硬件安全模块固件密钥泄露漏洞
低危 未知
2004-11-23 00:00:00 2005-05-13 00:00:00
本地  
        
        nCipher公司提供系列的硬件和软件安全产品。
        nCipher HSM固件中部分版本由于实现错误,攻击者可以利用这个漏洞获得部分密钥信息。
        攻击者可以发送特殊的命令给HSM,可获得模块实时内存中的密钥信息,如包括应用程序密钥数据。目前没有详细漏洞细节提供。
        

- 公告与补丁

        厂商补丁:
        nCipher
        -------
        nCipher强烈建议用户在如下区域升级nShield模块:
        European Union, Australia, Canada, Czech Republic,
        Hungary, Japan, New Zealand, Norway, Poland, Switzerland, United
        States.
        nCipher强烈建议任何其他设置了GeneralSEE功能的模块进行升级。
        受影响的固件版本如下:
         受影响firmware版本 修正后的firmware版本
         ---------------------------- -------------------------
         1.71.11, 1.71.15, 1.71.90 1.71.91
         1.75.15, 1.77.9, 1.77.93, 1.77.97 1.77.98
         1.79.12, 1.79.80, 1.79.81,
         2.0.0 to 2.0.4 2.0.5
         2.12.0, 2.12.2 2.12.6 (nCxxx2x modules)
         2.12.8 (nCxxx3x modules)
        用户可以联系供应商获得详细的解决方案。

- 漏洞信息

4055
nCipher nShield HSM Information Disclosure
Local Access Required Information Disclosure
Loss of Confidentiality
Exploit Unknown

- 漏洞描述

nShield contains a flaw that may lead to an unauthorized information disclosure. The issue is triggered because a local attacker is able to issue commands which will disclose secret key information resulting in a loss of confidentiality.

- 时间线

2004-02-23 2004-02-23
Unknow Unknow

- 解决方案

Upgrade to version indicated in vendor advisory or higher, as it has been reported to fix this vulnerability. An upgrade is required as there are no known workarounds.

- 相关参考

- 漏洞作者

Unknown or Incomplete
 

 

关于SCAP中文社区

SCAP中文社区是国内第一个以SCAP为主题的中文开放社区。了解更多信息,请查阅[关于本站]

版权声明

CVE/CWE/OVAL均为MITRE公司的注册商标,它们的官方数据源均保存在MITRE公司的相关网站