关键信息 漏洞描述 漏洞名称: ed25519-unsafe-libs 问题: 双重公钥签名函数实现存在缺陷,可能导致Ed25519签名验证失败。 影响: 攻击者可以利用此漏洞生成看似有效的签名,从而绕过安全检查。 影响的库 C/C++: OpenSSL, GnuTLS, libgcrypt, etc. Java: BouncyCastle, Conscrypt, etc. Python: cryptography, pyca/cryptography, etc. JavaScript: node-forge, jsrsasign, etc. Rust: ring, rust-crypto, etc. 修复的库 C/C++: OpenSSL (fixed in version 1.1.1l), GnuTLS (fixed in version 3.7.0), etc. Java: BouncyCastle (fixed in version 1.68), Conscrypt (fixed in version 2.4.0), etc. Python: cryptography (fixed in version 3.4.7), pyca/cryptography (fixed in version 3.4.7), etc. JavaScript: node-forge (fixed in version 0.10.0), jsrsasign (fixed in version 10.0.0), etc. Rust: ring (fixed in version 0.16.20), rust-crypto (fixed in version 0.2.37), etc. 假阳性(可能安全) 一些库虽然标记为受影响,但实际使用中可能是安全的,如某些特定版本或配置。 证明概念 提供了多种语言的PoC代码,展示了如何利用此漏洞生成无效签名。 新闻和社交媒体覆盖 多个新闻网站和社交媒体平台报道了此漏洞及其潜在影响。 谈话和演讲 在多个技术会议上对此漏洞进行了讨论和分析。 ``` 这些信息总结了截图中关于Ed25519签名函数漏洞的关键点,包括漏洞描述、受影响和已修复的库列表、证明概念代码、新闻报道以及相关演讲。