CyaSSL信息泄露漏洞(CVE

发布日期:2013-02-05
更新日期:2013-02-26

受影响系统:
CyaSSL CyaSSL
描述:
--------------------------------------------------------------------------------
BUGTRAQ  ID: 57780
 CVE(CAN) ID: CVE-2013-1623
 
CyaSSL是针对嵌入系统开发人员的小型的便携嵌入式SSL编程库。
 
wolfSSL CyaSSL 2.5.0d TLS和DTLS没有正确处理畸形CBC报文,通过构造特殊报文可导致其只检查明文的最后一字节而不是所有的padding字节,进而允许远程攻击者通过统计分析特制报文的定时数据,执行区别攻击和纯文本恢复攻击。
 
<*来源:Nadhem J. AlFardan
 
  链接:
        %2C_provider_of_CyaSSL_Embedded_SSL%2C_releases_first_embedded_TLS_and_DTLS_protocol_fix_for_Lucky_Thirteen_Attack.html
 *>

建议:
--------------------------------------------------------------------------------
厂商补丁:
 
CyaSSL
 ------
 目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
 

内容版权声明:除非注明,否则皆为本站原创文章。

转载注明出处:https://www.heiqu.com/wywjsd.html