漏洞概述 漏洞编号: CVE-2026-14969 漏洞标题: 389-ds-base: 静态初始化向量(IV)在 AES-CBC/3DES-CBC 属性加密中的使用 状态: 新 报告日期: 2026-07-07 15:36 UTC by OSIDB Bzimport 修改日期: 2026-07-07 15:42 UTC CC 列表: 11 用户 环境: 未指定 最后关闭: 未指定 紧急程度: 中等 优先级: 中等 目标里程碑: 未指定 分配给: 产品安全 QA 联系人: 未指定 文档联系人: 未指定 URL: 未指定 白板: 未指定 依赖项: 2497736 阻塞项: 未指定 树视图: 取决于 / 阻塞 影响范围 硬件: 所有 操作系统: Linux 组件: 漏洞 版本: 未指定 描述: 在 389-ds-base 中发现了一个漏洞。LDBM 后端属性加密实现在 中使用了一个硬编码的静态初始化向量(IV)——16 字节的 ——用于所有 AES-CBC-PAD 和 3DES-CBC-PAD 加密操作。CBC 模式需要一个唯一且不可预测的 IV 来提供语义安全性。静态 IV 会导致相同的明文属性值生成相同的密文,使攻击者能够通过比较密文块来检测条目之间的明文相等性,并促进对加密属性的离线密码分析。 修复方案 修复版本: 未指定 补丁: 未指定 POC 代码或利用代码 页面中未包含 POC 代码或利用代码。 其他信息 附件: 未指定 备注: 需要登录才能在此漏洞上发表评论或进行更改。 总结 该漏洞涉及 389-ds-base 中的属性加密实现,使用了硬编码的静态初始化向量(IV),导致相同明文生成相同密文,存在安全风险。需要修复以确保 IV 的唯一性和不可预测性。