发布日期:2013-02-06
更新日期:2013-03-03
受影响系统:
OpenSSL Project OpenSSL
描述:
--------------------------------------------------------------------------------
BUGTRAQ ID: 57778
CVE(CAN) ID: CVE-2013-0169
OpenSSL、PolarSSL、OpenJDK在处理畸形CBC padding时,TLS和DTLS的实现上存在信息泄露漏洞,虽然会对某些数据执行MAC检查以阻止timing攻击,但是TLS 1.1和1.2 RFC没有正确检查padding的长度。攻击者可利用此漏洞获取敏感信息。
<*来源:Nadhem Alfardan
链接:
?vulnId=CVE-2013-0169
*>
建议:
--------------------------------------------------------------------------------
厂商补丁:
OpenSSL Project
---------------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载: