漏洞标题
browserify-sign由于`dsaVerify`中的上界检查问题而易受签名伪造攻击
漏洞描述信息
## 漏洞概述
`browserify-sign`包中存在一个DSA签名伪造漏洞,该漏洞允许攻击者构造可以被任意公钥成功验证的签名。
## 影响版本
受影响版本:`browserify-sign` 版本低于 4.2.2。
## 细节
该漏洞是由于`dsaVerify`函数中的一个上限检查问题导致的。攻击者可以利用此问题构造一些特定的签名,这些签名可以被任意公钥成功验证。
## 影响
所有涉及DSA验证用户输入的签名的项目代码将受到影响。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N
漏洞类别
密码学签名的验证不恰当
漏洞标题
browserify-sign vulnerable via an upper bound check issue in `dsaVerify` that leads to a signature forgery attack
漏洞描述信息
browserify-sign is a package to duplicate the functionality of node's crypto public key functions, much of this is based on Fedor Indutny's work on indutny/tls.js. An upper bound check issue in `dsaVerify` function allows an attacker to construct signatures that can be successfully verified by any public key, thus leading to a signature forgery attack. All places in this project that involve DSA verification of user-input signatures will be affected by this vulnerability. This issue has been patched in version 4.2.2.
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:N
漏洞类别
密码学签名的验证不恰当
漏洞标题
browserify-sign 数据伪造问题漏洞
漏洞描述信息
browserify-sign是一个用于复制节点加密公钥功能的包。 browserify-sign 存在安全漏洞,该漏洞源于dsaVerify函数中的上限检查存在问题,允许攻击者可以通过任何公钥成功验证签名,从而导致签名伪造攻击。
CVSS信息
N/A
漏洞类别
授权问题