咨询服务介绍
信息科技合规咨询
信息科技风险审计
中央企业商业秘密保护
信息安全管理体系咨询
关键风险指标KRI咨询
IT治理咨询
IT内控咨询
信息安全咨询
业务相关安全咨询
ISO20000&ISO27001体系整合咨询
IT服务管理咨询
业务连续性咨询
IT审计服务
专业安全技术服务
谷安在线咨询服务
金融行业解决方案
通信行业解决方案
央企解决方案
开发安全解决方案
其他行业解决方案
金融行业
通信行业
央企与政府
其他行业
研究创新
业内动态
在线研讨
现场研讨
公司简介
专业资质
优势说明
团队操守
招贤纳士
联系我们
D-link意外泄漏私有代码签名密钥
网络设备制造商D-Link犯了一个小错误,但这可能导致巨大的损失。
在D-Link发布的开源固件包中发现了他们对软件进行签名所使用的私钥。现在还不知道该密钥是否被恶意第三方利用,但存在被利用的可能性,黑客可以用这个密钥对恶意软件进行签名,使它更容易执行攻击。
一个名为Tweakers的荷兰网站从一个读者那里收到了提醒,这位读者购买了D-Link的DCS-5020L安全摄像头并且下载了固件。然后他在固件中不仅发现了私钥,而且还有对软件进行签名所使用的密码。Tweakers将这一情况转交给了荷兰安全公司Fox-IT,该公司也对其进行了验证。
“我认为这是打包发布源代码的人犯的错误,因为代码签名证书只存在于一个特定版本的源代码包中。”Fox-IT的安全研究员Yonathan Klijnsma告诉Threatpost,“该特定版本之前和之后的版本都不包含代码签名证书存在的文件夹,从文件夹中我们可以看出这是一个很简单的错误。”
Klijnsma说他不仅在D-Link的源代码包中发现证书,而且在Starfield Technologies,KEEBOX Inc,以及Alpha Networks中都存在这种问题。所有的证书现在都已经过期或被注销。然而,D-Link的cert部门在2月27日发布该证书,而9月3日才暴露出来,期间超过6个月。
“这是一个你不会想要暴露的文件,但它却很容易找到”,Klijnsma说道。
E-mail:market@gooann.com
Fax:010-51626887-816
京ICP备13013886号-9 Copyright © 2012-2018 谷安天下 All Rights Reserved