信息提供：

漏洞類別：

攻擊類型：

發布日期：

更新日期：

受影響系統：

安全系統：

無

漏洞報告人：

漏洞描述：

BUGTRAQ ID: 6448

nCipher公司提供系列的硬件和軟件安全產品。

nCipher PKCS#11庫的訪問控制組件存在問題，使的在部分環境下，受此影響的設備和組件可能輸出明文密鑰。

nCipher模塊可用于多個工業標準API，在這當中，nCipher提供與RSA實驗室PKCS#11加密Token接口標準(Cryptoki)相兼容的加密庫。

nCipher PKCS#11庫存在實現錯誤，由于訪問控制組件的問題，導致設備和應用程序導出明文密鑰或保護密鑰不正確不強壯。

使用nCipher PKCS#11庫的應用程序可能受此漏洞影響。

下列應用程序由于沒有通過PKCS#11集成nCipher所以不受此漏洞影響：

Apache

IBM Websphere (using BHAPI interface only)

iPlanet Proxy Server

Microsoft Exchange Server

Microsoft Internet Information Server (IIS)

Microsoft ISA Server

Microsoft Windows 2000 Certificate Server

Netscape Enterprise Server 3.x (但iPlanet受此漏洞影響)

Stronghold webserver

Tivoli Access Manager, Web Seal version 3.9

Oracle 9i R2 Database Advanced Security Option

使用如下API編寫的應用程序不受此漏洞影響：

nCore/NFKM (以前稱為`the nFast API')

CHIL (`hwcrhk')

Microsoft CAPI

OpenSSL

BHAPI

nCipher supplied JCA and/or JCE providers

nFast 800或以前的nFast產品只提供加速功能而不支持KEY管理的不受此漏洞影響。

測試方法：

無

解決方法：

請聯系供應商獲得補?。?BR>
http://www.ncipher.com/support/advisories/

此補丁可使用在如下平臺下：

AIX 4.3.3

AIX 5L (32 bit only)

HP-UX 10.20 / HP-UX 11

Linux libc6 / Linux libc6.1

Solaris 2.6 / Solaris 2.7 / Solaris 2.8 / Solaris 2.9

Trusted Solaris 2.8

Windows NT 4 / Windows 2000