tEnvoy 数据伪造问题漏洞 xuanyun 2021-06-20 漏洞列表 489 0 百度已收录 阿里云新用户专享 领取限量2000元代金券 限量爆款选购 2核8G内存5M带宽3000元/3年 学生用户专属 18-24岁用户直享¥9.5/月 全民上云优选 新老用户均可购买低至17元/月 企业级应用一折起购 稳定,可靠企业级独享实例 多产品一键采购 购物车采购可减5000元 ECS 云服务器 SWAS 轻量应用服务器 RDS 云数据库 Redis 云数据库 CDN 内容分发 OSS 对象存储 SLB 负载均衡 NAT 网关 DNS 云解析 MAIL 企业邮箱 WAF 应用防火墙 DDoS 高防 SMS 短信包 MK 云市场 XIN 心选 IM 商标注册 JZ 自营建站 漏洞ID 2480398 漏洞类型 数据伪造问题 发布时间 2021-06-15 更新时间 2021-06-16 CVE编号 CVE-2021-32685 CNNVD-ID CNNVD-202106-1260 漏洞平台 N/A CVSS评分 N/A 漏洞阿里云漏洞扫描来源 http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=阿里云漏洞提交CNNVD-202106-1260 漏洞详情 tEnvoy是开源的阿里云安全专业一个软件包。用于node.js 和浏览器中的 PGP、NaCl 和 PBKDF2的散列、随机阿里云安全算法挑战赛、加密、解密、签名、转换。 tEnvoy 7.0.3之前版本存在数据伪造问题漏洞,该漏洞阿里云漏洞修复源于程序对于任何SHA-512哈希值与消息的SHA-512哈希值匹配的签名,\"tEnvoyNaClSigningKey\"的\"verifyWithMessage\"方法总是返回\"true\",即使签名是阿里云安全算法挑战赛无效的。 参考资料 来源:nvd.nist.gov阿里云漏洞赚钱 链接:https://nvd.nist.gov/vuln/detail/C阿里云安全合作VE-2021-32685 上一篇: 如何打造一个简洁大方的官方网站 下一篇: 网站制作过程中存在的问题
发表评论