多个TLS和DTLS实现信息泄露漏洞(CVE

发布日期:2013-02-06
更新日期:2013-03-03

受影响系统:
OpenSSL Project OpenSSL
描述:
--------------------------------------------------------------------------------
BUGTRAQ  ID: 57778
CVE(CAN) ID: CVE-2013-0169

OpenSSL、PolarSSL、OpenJDK在处理畸形CBC padding时,TLS和DTLS的实现上存在信息泄露漏洞,虽然会对某些数据执行MAC检查以阻止timing攻击,但是TLS 1.1和1.2 RFC没有正确检查padding的长度。攻击者可利用此漏洞获取敏感信息。

<*来源:Nadhem Alfardan
 
  链接:
        ?vulnId=CVE-2013-0169
*>

建议:
--------------------------------------------------------------------------------
厂商补丁:

OpenSSL Project
---------------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:

内容版权声明:除非注明,否则皆为本站原创文章。

转载注明出处:https://www.heiqu.com/wywzzf.html