nCipher测试选项不安全密钥生成漏洞

受影响系统：
nCipher nForce PCI/SCSI
nCipher nShield PCI/SCSI
nCipher payShield PCI/SCSI/net
nCipher netHSM
nCipher SecureDB
nCipher DSE200 Document Sealing Engine
nCipher TSMC
描述：
--------------------------------------------------------------------------------
BUGTRAQ ID: 17012

nCipher是全球硬件安全模块（HSM）技术、磁盘加密技术和其它身份保护和管理解决方案的领先供应商之一。

nCipher在产品的测试和发布过程中存在漏洞，攻击者可能利用此漏洞以较小的代价获取密钥。

在模块固件开发过程中，会在nCipher产品中加入各种选项以便测试。尽管这些选项没有提供特殊的密钥访问，但允许以较低的安全属性生成密钥。一些正式发布的nCipher产品中可能还存在上述测试用的选项，这就允许攻击者通过创建特制格式的消息获得有关密钥的额外信息，以比暴力猜测耗时更少的时间恢复密钥。

<*来源：nCipher Support （support@ncipher.com）

链接：http://marc.theaimsgroup.com/?l=bugtraq&m=114192285932638&w=2
*>

建议：
--------------------------------------------------------------------------------
厂商补丁：

nCipher
-------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://www.ncipher.com/support/advisories/

原作者：不详