CVE-2021-3711

时间: 2023-10-09 21:16:49 浏览: 217
CVE-2021-3711是一个高危漏洞,它影响到了使用SM2国密算法的应用程序。通过使用恶意构造的加密数据,攻击者可以导致应用程序的内存泄漏或拒绝服务攻击。具体来说,在使用SM2算法的过程中,当解密函数EVP_PKEY_decrypt的"out"参数为NULL时,会调用sm2_plaintext_size函数,这个函数会返回所需的缓冲区大小。而攻击者可以通过发送特定的加密数据来利用这个漏洞,导致内存泄漏或拒绝服务攻击。因此,如果您的应用程序使用了SM2算法,请确保已经更新了相关的补丁以修复这个漏洞。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *3* [记自己发现的—SM2国密算法应用的高危漏洞—CVE-2021-3711](https://blog.csdn.net/oyt123/article/details/119957176)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] - *2* [【技术分享】SM2国密算法应用的高危漏洞——CVE-2021-3711 .pdf](https://download.csdn.net/download/testvaevv/21950987)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]
阅读全文

相关推荐

zip

CVE-2021-21972:CVE-2021-21972漏洞利用

CVE-2021-21972 CVE-2021-21972工作于VMware-VCSA-all-6.7.0-8217866,VMware-VIM-all-6.7.0-8217866 :heavy_check_mark: VMware-VCSA-all-6.5.0-16613358 :heavy_check_mark:对于vCenter6.7 U2 + vCenter 6.7U2 +在...
zip

CVE-2021-4034

**CVE-2021-4034:Linux中的Pwnkit提权漏洞** CVE-2021-4034,也被称为“Pwnkit”,是Linux操作系统中的一个严重安全漏洞,该漏洞影响了pkexec工具,允许攻击者以root权限执行任意代码,从而实现本地提权。这个漏洞...
zip

laravel-CVE-2021-3129-EXP-main.zip 写shellexp

**Laravel 框架中的 CVE-2021-3129 漏洞详解及 EXP 利用** Laravel 是一个流行的开源 PHP Web 应用框架,以其优雅的语法和强大的功能深受开发者喜爱。然而,就像任何其他软件一样,Laravel 也存在安全漏洞。其中之...
pdf

【技术分享】SM2国密算法应用的高危漏洞——CVE-2021-3711 .pdf

《SM2国密算法应用的高危漏洞——CVE-2021-3711详解》 在网络安全领域,国密算法的使用日益广泛,特别是SM2算法,它在保障我国网络信息安全方面起着关键作用。然而,随着技术的发展,安全漏洞的出现也是无法避免的...

CVE-2021-3711复现

CVE-2021-3711是一个已知的安全漏洞,它通常与微软Exchange Server有关。这个漏洞被称为"Exchange Remote Code Execution (RCE)",允许攻击者通过精心构造的电子邮件附件远程执行恶意代码,如果目标用户的邮件服务器...

CVE-2021-3711漏洞修复方法

CVE-2021-3711漏洞是OpenSSL中的一个安全漏洞,攻击者可以利用该漏洞来执行恶意代码或进行拒绝服务攻击。要修复此漏洞,您可以按照以下步骤进行操作: 1. 确认您的系统是否受到影响。您可以使用以下命令检查OpenSSL...

Oracle 官网下载漏洞(CVE-2021-3711)的补丁

如果您使用的是Oracle产品,并且需要为CVE-2021-3711下载补丁,您可以按照以下步骤操作: 1. 访问Oracle官网:https://www.oracle.com/ 2. 点击“Support”选项卡,然后选择“Patches & Updates”。 3. 在“Patches...
zip

CVE-2021-3156:CVE-2021-3156

【标题】:“CVE-2021-3156:Sudo命令行漏洞详解” 【描述】:“CVE-2021-3156”是一个严重且影响广泛的漏洞,被称为“Baron Samedit”或“SudoCmd”,它影响了广泛使用的Sudo命令行工具,允许本地攻击者获得系统上...
zip

CVE-2021-21972:CVE-2021-21972

CVE-2021-21972 描述 vSphere Client(HTML5)在vCenter Server插件中包含一个远程执行代码漏洞。 具有网络访问端口443的恶意行为者可能会利用此问题在托管vCenter Server的基础操作系统上以不受限制的特权执行命令...
zip

Exch-CVE-2021-26855:CVE-2021-26855

Exch-CVE-2021-26855 ProxyLogon是CVE-2021-26855的正式通用名称,CVE-2021-26855是Microsoft Exchange Server上的一个漏洞,它使攻击者可以绕过身份验证并冒充管理员。 我们还将此漏洞与另一个验证后任意文件写入...
zip

CVE-2021-25281:链接CVE-2021-25281和CVE-2021-25282以利用SaltStack

在2021年,盐栈遭遇了两个严重的安全漏洞,分别是CVE-2021-25281和CVE-2021-25282。这两个漏洞允许攻击者在受影响的系统上执行任意代码,从而可能导致数据泄露、系统破坏或被用作进一步攻击的跳板。 **CVE-2021-...
zip

CVE-2021-21978:CVE-2021-21978经验

**CVE-2021-21978:VMware View Planner远程代码执行漏洞** 在2021年,VMware发现并公开了一个严重的安全漏洞,被命名为CVE-2021-21978。这个漏洞影响了VMware Horizon View Planner,这是一个用于测试虚拟桌面性能...
zip

CVE-2021-26855:CVE-2021-26855 exp

CVE-2021-26855 CVE-2021-26855 ssrf简单利用golang练习影响版本Exchange Server 2013小于CU23 Exchange Server 2016小于CU18 Exchange Server 2019小于CU7利用条件该突破性常规的交换漏洞,此突破并没有一个可登录...
zip

CVE-2021-25735:利用CVE-2021-25735

CVE-2021-25735 利用CVE-2021-25735:Kubernetes验证准入Webhook绕过 设置脆弱的环境 让我们从运行脚本gencerts.sh开始以生成TLS证书和密钥。 bash gencerts.sh 要部署接纳控制器,您需要在本地构建Docker容器映像...
zip

HAFNIUM-IOC:一个PowerShell脚本,用于识别CVE-2021-26855,CVE-2021-26857,CVE-2021-26858和CVE-2021-26865的利用指标

FN Hafnium-IOC是一个简单的PowerShell脚本,可在Exchange服务器上运行以从Mircosoft在2021-03-02的Hafnium活动版本中识别危害指标(IOC)( )。 随着更多信息的提供,脚本可能会更新为包括更多IOC。执照f IOC已...

CVE-2021-45105/CVE-2021-44228

CVE-2021-45105是一个路径遍历漏洞,攻击者可以利用它来读取服务器上受限制的文件。CVE-2021-44228是一个HTTP请求解析漏洞,攻击者可以通过发送恶意的请求导致服务器崩溃或远程代码执行。 为了保护系统安全,建议...
zip

CVE-2021-1732-Exploit:CVE-2021-1732漏洞利用

**CVE-2021-1732漏洞详解** CVE-2021-1732是一个针对Microsoft Windows操作系统的重要安全漏洞,主要影响Windows 10版本1909的x64架构系统。这个漏洞是由于操作系统组件中的一个编程错误导致的,它可能被恶意攻击者...
zip

AdTran-Personal-Phone-Manager-Vulns:存储库托管0天CVE-2021-25679,CVE-2021-25680和CVE-2021-25681的内容

存储库托管0天CVE-2021-25679,CVE-2021-25680和CVE-2021-25681的内容。 概括 :在更改电子邮件地址表单中,Adtran个人电话管理器对存储的XSS进行了身份验证 :Adtran个人电话管理器多重反映XSS :AdTran个人电话...
zip

CVE-2021-26855-PoC:CVE-2021-26855的PoC攻击代码

CVE-2021-26855-PoC CVE-2021-26855的PoC漏洞利用代码。 原始代码由开发。 CVE-2021-26855 SSRF简单地使用Golang练习受影响的版本 Exchange Server 2013 is less than CU23 Exchange Server 2016 is less than CU...
-

AdTran个人电话管理器漏洞细节:0天CVE-2021-25679, CVE-2021-25680, CVE-2021-25681

资源摘要信息: "AdTran-Personal-Phone-Manager-Vulns:存储库托管0天CVE-2021-25679,CVE-2021-25680和CVE-2021-25681的内容" 在信息安全领域,对AdTran个人电话管理器(Personal Phone Manager,简称PPM)的三个...

大家在看

recommend-type

InDesignCC2021 中文索引插件

根据字符样式自动生成索引,支持四级中文索引
recommend-type

不同拉压模量弹性力学问题研究的新进展

不同拉压模量弹性力学问题研究的新进展,赵慧玲,叶志明,拉压不同模量弹性体具有材料非线性特征,不同模量本构关系受到材料本身及结构各点的应力、应变状态等因素的综合影响。本文总结了
recommend-type

天线测试手册

能不说么?实在是没说的了。其实就这点了,真的,实在没说的了
recommend-type

计算所认定的期刊会议列表

计算所认定的期刊会议列表 会议排名, 杂志排名, 毕业要求
recommend-type

学堂云《信息检索与科技写作》单元测试考核答案

学堂云《信息检索与科技写作》单元测试考核答案 【对应博文见链接:】https://blog.csdn.net/m0_61712829/article/details/135173767?csdn_share_tail=%7B%22type%22%3A%22blog%22%2C%22rType%22%3A%22article%22%2C%22rId%22%3A%22135173767%22%2C%22source%22%3A%22m0_61712829%22%7D

最新推荐

recommend-type

Weblogic-CVE-2019-2725补丁升级方法.docx

《Weblogic-CVE-2019-2725补丁升级方法详解》 WebLogic Server是一款由甲骨文公司开发的企业级应用服务器,它为构建、部署和管理企业级Java应用程序提供了全面的平台。然而,随着技术的发展,安全漏洞的出现是不可...
recommend-type

燃料电池汽车Cruise整车仿真模型(燃料电池电电混动整车仿真模型) 1.基于Cruise与MATLAB Simulink联合仿真完成整个模型搭建,策略为多点恒功率(多点功率跟随)式控制策略,策略模

燃料电池汽车Cruise整车仿真模型(燃料电池电电混动整车仿真模型)。 1.基于Cruise与MATLAB Simulink联合仿真完成整个模型搭建,策略为多点恒功率(多点功率跟随)式控制策略,策略模型具备燃料电池系统电堆控制,电机驱动,再生制动等功能,实现燃料电池车辆全部工作模式,基于项目开发,策略准确; 2.模型物超所值,Cruise模型与Simulink策略有不懂的随时交流; 注:请确定是否需要再买,这种技术类文件出一概不 ;附赠Cruise与Simulink联合仿真的方法心得体会(大概十几页)。
recommend-type

租赁合同编写指南及下载资源

资源摘要信息:《租赁合同》是用于明确出租方与承租方之间的权利和义务关系的法律文件。在实际操作中,一份详尽的租赁合同对于保障交易双方的权益至关重要。租赁合同应当包括但不限于以下要点: 1. 双方基本信息:租赁合同中应明确出租方(房东)和承租方(租客)的名称、地址、联系方式等基本信息。这对于日后可能出现的联系、通知或法律诉讼具有重要意义。 2. 房屋信息:合同中需要详细说明所租赁的房屋的具体信息,包括房屋的位置、面积、结构、用途、设备和家具清单等。这些信息有助于双方对租赁物有清晰的认识。 3. 租赁期限:合同应明确租赁开始和结束的日期,以及租期的长短。租赁期限的约定关系到租金的支付和合同的终止条件。 4. 租金和押金:租金条款应包括租金金额、支付周期、支付方式及押金的数额。同时,应明确规定逾期支付租金的处理方式,以及押金的退还条件和时间。 5. 维修与保养:在租赁期间,房屋的维护和保养责任应明确划分。通常情况下,房东负责房屋的结构和主要设施维修,而租客需负责日常维护及保持房屋的清洁。 6. 使用与限制:合同应规定承租方可以如何使用房屋以及可能的限制。例如,禁止非法用途、允许或禁止宠物、是否可以转租等。 7. 终止与续租:租赁合同应包括租赁关系的解除条件,如提前通知时间、违约责任等。同时,双方可以在合同中约定是否可以续租,以及续租的条件。 8. 解决争议的条款:合同中应明确解决可能出现的争议的途径,包括适用法律、管辖法院等,有助于日后纠纷的快速解决。 9. 其他可能需要的条款:根据具体情况,合同中可能还需要包括关于房屋保险、税费承担、合同变更等内容。 下载资源链接:【下载自www.glzy8.com管理资源吧】Rental contract.DOC 该资源为一份租赁合同模板,对需要进行房屋租赁的个人或机构提供了参考价值。通过对合同条款的详细列举和解释,该文档有助于用户了解和制定自己的租赁合同,从而在房屋租赁交易中更好地保护自己的权益。感兴趣的用户可以通过提供的链接下载文档以获得更深入的了解和实际操作指导。
recommend-type

【项目管理精英必备】:信息系统项目管理师教程习题深度解析(第四版官方教材全面攻略)

![信息系统项目管理师教程-第四版官方教材课后习题-word可编辑版](http://www.bjhengjia.net/fabu/ewebeditor/uploadfile/20201116152423446.png) # 摘要 信息系统项目管理是确保项目成功交付的关键活动,涉及一系列管理过程和知识领域。本文深入探讨了信息系统项目管理的各个方面,包括项目管理过程组、知识领域、实践案例、管理工具与技术,以及沟通和团队协作。通过分析不同的项目管理方法论(如瀑布、迭代、敏捷和混合模型),并结合具体案例,文章阐述了项目管理的最佳实践和策略。此外,本文还涵盖了项目管理中的沟通管理、团队协作的重要性,
recommend-type

最具代表性的改进过的UNet有哪些?

UNet是一种广泛用于图像分割任务的卷积神经网络结构,它的特点是结合了下采样(编码器部分)和上采样(解码器部分),能够保留细节并生成精确的边界。为了提高性能和适应特定领域的需求,研究者们对原始UNet做了许多改进,以下是几个最具代表性的变种: 1. **DeepLab**系列:由Google开发,通过引入空洞卷积(Atrous Convolution)、全局平均池化(Global Average Pooling)等技术,显著提升了分辨率并保持了特征的多样性。 2. **SegNet**:采用反向传播的方式生成全尺寸的预测图,通过上下采样过程实现了高效的像素级定位。 3. **U-Net+
recommend-type

惠普P1020Plus驱动下载:办公打印新选择

资源摘要信息: "最新惠普P1020Plus官方驱动" 1. 惠普 LaserJet P1020 Plus 激光打印机概述: 惠普 LaserJet P1020 Plus 是惠普公司针对家庭、个人办公以及小型办公室(SOHO)市场推出的一款激光打印机。这款打印机的设计注重小巧体积和便携操作,适合空间有限的工作环境。其紧凑的设计和高效率的打印性能使其成为小型企业或个人用户的理想选择。 2. 技术特点与性能: - 预热技术:惠普 LaserJet P1020 Plus 使用了0秒预热技术,能够极大减少打印第一张页面所需的等待时间,首页输出时间不到10秒。 - 打印速度:该打印机的打印速度为每分钟14页,适合处理中等规模的打印任务。 - 月打印负荷:月打印负荷高达5000页,保证了在高打印需求下依然能稳定工作。 - 标配硒鼓:标配的2000页打印硒鼓能够为用户提供较长的使用周期,减少了更换耗材的频率,节约了长期使用成本。 3. 系统兼容性: 驱动程序支持的操作系统包括 Windows Vista 64位版本。用户在使用前需要确保自己的操作系统版本与驱动程序兼容,以保证打印机的正常工作。 4. 市场表现: 惠普 LaserJet P1020 Plus 在上市之初便获得了市场的广泛认可,创下了百万销量的辉煌成绩,这在一定程度上证明了其可靠性和用户对其性能的满意。 5. 驱动程序文件信息: 压缩包内包含了适用于该打印机的官方驱动程序文件 "lj1018_1020_1022-HB-pnp-win64-sc.exe"。该文件是安装打印机驱动的执行程序,用户需要下载并运行该程序来安装驱动。 另一个文件 "jb51.net.txt" 从命名上来看可能是一个文本文件,通常这类文件包含了关于驱动程序的安装说明、版本信息或是版权信息等。由于具体内容未提供,无法确定确切的信息。 6. 使用场景: 由于惠普 LaserJet P1020 Plus 的打印速度和负荷能力,它适合那些需要快速、频繁打印文档的用户,例如行政助理、会计或小型法律事务所。它的紧凑设计也使得这款打印机非常适合在桌面上使用,从而不占用过多的办公空间。 7. 后续支持与维护: 用户在购买后可以通过惠普官方网站获取最新的打印机驱动更新以及技术支持。在安装新驱动之前,建议用户先卸载旧的驱动程序,以避免版本冲突或不必要的错误。 8. 其它注意事项: - 用户在使用打印机时应注意按照官方提供的维护说明定期进行清洁和保养,以确保打印质量和打印机的使用寿命。 - 如果在打印过程中遇到任何问题,应先检查打印机设置、驱动程序是否正确安装以及是否有足够的打印纸张和墨粉。 综上所述,惠普 LaserJet P1020 Plus 是一款性能可靠、易于使用的激光打印机,特别适合小型企业或个人用户。正确的安装和维护可以确保其稳定和高效的打印能力,满足日常办公需求。
recommend-type

数字电路实验技巧:10大策略,让你的实验效率倍增!

![数字电路实验技巧:10大策略,让你的实验效率倍增!](https://avatars.dzeninfra.ru/get-zen_doc/3964212/pub_5f76d5f2109e8f703cdee289_5f76f3c10d5f8951c997167a/scale_1200) # 摘要 本论文详细介绍了数字电路实验的基础理论、设备使用、设计原则、实践操作、调试与故障排除以及报告撰写与成果展示。首先探讨了数字电路实验所需的基本理论和实验设备的种类与使用技巧,包括测量和故障诊断方法。接着,深入分析了电路设计的原则,涵盖设计流程、逻辑简化、优化策略及实验方案的制定。在实践操作章节中,具体
recommend-type

altium designer布线

### Altium Designer 布线教程和技巧 #### 一、环境设置与准备 为了更高效地完成布线工作,前期的准备工作至关重要。确保原理图已经完全无误并编译成功[^2]。 #### 二、同步查看原理图与PCB布局 通过在原理图标题栏处右键点击并选择 "Split Vertical" 可实现原理图和PCB视图的同时展示,这有助于理解电路连接关系以及提高布线效率。 #### 三、自动布线器配置 Altium Designer内置有强大的自动布线功能。进入“Tools -> PCB Rules and Constraints Editor”,可以自定义诸如最小间距、过孔尺寸等参数来满足
recommend-type

Rust与OpenGL共同打造的迷宫游戏

资源摘要信息:"迷宫游戏开发指南" 在Rust和OpenGL环境下开发迷宫游戏涉及多个方面的知识点,包括编程语言Rust的基本语法和高级特性,OpenGL的图形编程原理以及游戏循环和资源管理等。以下详细说明了这些知识点: 1. Rust编程语言基础 Rust是一种系统编程语言,它提供了内存安全而无需垃圾回收器。Rust的目标是防止空指针解引用、缓冲区溢出等内存安全问题。迷宫游戏开发中,使用Rust可以高效利用系统资源并保证运行时的稳定性和性能。基础知识点包括但不限于: - 变量和可变性 - 数据类型:整型、浮点型、字符、布尔类型、元组、数组、切片等 - 控制流:if、循环(for, while)、模式匹配 - 函数和闭包 - 所有权、借用和生命周期 - 结构体、枚举和特征 - 模块和使用语句 - 错误处理:Result和Option枚举 - 异步编程:async和await 2. OpenGL图形编程基础 OpenGL(Open Graphics Library)是一个跨语言、跨平台的API,用于渲染2D和3D矢量图形。在Rust中,可以使用gl-rs或其他类似的库来创建OpenGL上下文,并进行渲染操作。迷宫游戏开发中,开发者需要掌握的知识点包括: - OpenGL上下文的创建和管理 - 着色器语言GLSL的基本语法 - 纹理映射、光源和材质处理 - 几何体的创建和管理(如顶点缓冲、索引缓冲等) - 渲染管线的各个阶段(顶点处理、裁剪、光栅化等) - 深度缓冲和模板缓冲的使用 - OpenGL状态机的理解和管理 3. 游戏开发循环 游戏开发循环是指游戏运行时不断循环进行的一系列步骤,通常包括输入处理、游戏状态更新和渲染。迷宫游戏开发中,游戏循环的设计与实现是至关重要的部分。涉及到的知识点包括: - 游戏状态机的设计 - 输入事件的监听和处理(如键盘、鼠标事件) - 游戏逻辑的更新(如玩家移动、碰撞检测、迷宫生成逻辑等) - 场景的渲染和重绘 - 游戏帧率的控制和时间管理 4. 资源管理 资源管理是指游戏中各类资源(如图像、音频、模型等)的加载、使用和释放。在Rust中,这通常涉及到文件读取、内存管理和生命周期控制。迷宫游戏开发中需要的知识点包括: - 文件系统的操作(如读取迷宫数据文件) - 内存管理策略(如资源的动态加载和卸载) - 图像和纹理的加载和使用 - 音频播放控制 - 资源释放时机的确定以避免内存泄漏 5. 迷宫游戏逻辑实现 迷宫游戏的逻辑实现是指游戏中迷宫的生成、玩家的引导和游戏的胜负判定等核心游戏机制。迷宫游戏逻辑实现中的关键知识点包括: - 迷宫生成算法(如深度优先搜索算法、Prim算法或Kruskal算法等) - 玩家和游戏对象的移动逻辑 - 路径寻找和导引逻辑(如A*算法) - 胜负判定和游戏重置逻辑 6. 使用Rust和OpenGL库 实际开发中,开发者会使用一些Rust库来简化OpenGL的调用和管理。相关的知识点包括: - cargo工具和Rust包管理 - 使用Rust的OpenGL绑定库(如gl-rs、glium等) - 管理依赖和构建项目的配置文件(Cargo.toml) - 使用第三方库来处理窗口创建和事件循环(如 glutin) 7. 调试和性能优化 在开发迷宫游戏的过程中,调试和性能优化是重要的环节,以确保游戏运行的流畅性和稳定性。相关的知识点包括: - 使用调试工具(如gdb、rr、Valgrind等)进行错误追踪和性能分析 - 代码的性能优化策略(如循环展开、内存对齐、缓存优化等) - 图形渲染的性能优化(如批处理渲染、优化状态切换、减少绘制调用等) - 使用诊断工具(如Rust的cargo-expand等)来查看代码展开和宏展开 综上所述,Rust和OpenGL迷宫游戏的开发涉及众多知识点,需要开发者具备扎实的编程基础、图形编程经验、游戏开发知识和系统性能优化能力。通过使用Rust的现代编程特性和OpenGL的强大图形处理能力,可以开发出运行高效且稳定的迷宫游戏。
recommend-type

数字电路设计基础:9大技巧带你从理论飞跃到实践

![数字电路设计基础:9大技巧带你从理论飞跃到实践](https://instrumentationtools.com/wp-content/uploads/2017/08/instrumentationtools.com_plc-data-comparison-instructions.png) # 摘要 数字电路设计是电子工程领域中的核心部分,它涵盖了从基本概念到高级技巧的广泛知识。本文首先介绍了数字电路设计的基本概念和原理,接着深入探讨了理论基础,包括逻辑门、组合逻辑电路以及时序逻辑电路的设计。随后,文章转向实践应用,讨论了设计工具、仿真测试方法和数字电路在不同领域的应用实例。最后,本