海绵城堡asn1漏洞

Question

2012年4月之前的OpenSSL版本有一个称为ASN1 BIO漏洞(http://www.openssl.org/news/secadv_20120419.txt)的漏洞。

我现在正在使用Android上的海绵城堡来解决我们的安全需求，我想知道海绵城堡是否也容易受到这个问题的影响。

我在谷歌上搜索了这个主题，但找不到任何关于它的信息。

这里有没有人知道这是否会影响海绵城堡？

谢谢!

Answer 1

Bouncy Castle和Spongy Castle不使用任何OpenSSL代码进行ASN.1解析。所有代码都是用Java开发的，AFAIK并不是从OpenSSL借来的。因此，从理论上讲，它不应该有同样的漏洞。尤其是因为它与特定于OpenSSL的API(BIO)相关。