search

Tongsuo-Project / Tongsuo

铜锁/Tongsuo is a Modern Cryptographic Primitives and Protocols Library
https://www.tongsuo.net
Apache License 2.0
1.16k stars 186 forks source link

CVE-2022-2068,CVE-2016-2176,CVE-2020-10143这几个问题有修改计划吗? #650

Open wsg314 opened 3 months ago

wsg314 commented 3 months ago

CVE-2022-2068,CVE-2016-2176,CVE-2020-10143这几个漏洞有修改计划吗?

dongbeiouba commented 3 months ago

CVE-2022-2068CVE-2016-2176CVE-2020-10143这几个漏洞有修改计划吗?

请问,是如何检测Tongsuo存在这些漏洞的?

我只看了一下CVE-2022-2068,Tongsuo项目中已经删除了c_rehash.in脚本文件,既然都不存在该文件,怎么可能存在CVE-2022-2068漏洞呢

您确定不是误报吗?

wsg314 commented 2 months ago

FOSSEys系统扫描的,使用的是Tongsuo 8.5.0的源码包

dongbeiouba commented 2 months ago

FOSSEys系统扫描的,使用的是Tongsuo 8.5.0的源码包

FOSSEys扫描器是开源的?还是商业化产品?可以了解一下他们扫描漏洞的原理,反馈一下误报。

InfoHunter commented 2 months ago

有可能是根据OpenSSL版本信息得出的漏洞……