wolfSSL CyaSSL TLS/DTLS实现加密问题漏洞

QQ空间 新浪微博 微信 QQ facebook twitter
漏洞ID 1169273 漏洞类型 加密问题
发布时间 2013-02-05 更新时间 2013-08-30
CVE编号 CVE-2013-1623 CNNVD-ID CNNVD-201302-155
漏洞平台 N/A CVSS评分 4.3
|漏洞来源
https://www.securityfocus.com/bid/57780
http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-201302-155
|漏洞详情
wolfSSLCyaSSL2.5.0之前版本中的TLS和DTLS实现中存在漏洞,该漏洞源于程序在处理畸形的CBC填充期间没有正确地研究针对固执的MAC地址检查操作所进行的计时边信道攻击。通过对特制报文的计时数据的统计分析,远程攻击者可利用该漏洞实施区分攻击以及明文恢复攻击。
|受影响的产品
Ubuntu Ubuntu Linux 12.04 LTS i386 Ubuntu Ubuntu Linux 12.04 LTS amd64 Ubuntu Ubuntu Linux 11.10 i386 Ubuntu Ubuntu Linux 11.10 amd64 Ubuntu Ubuntu Linux 10.04 sparc Ubun
|参考资料

来源:www.yassl.com
链接:http://www.yassl.com/yaSSL/Blog/Entries/2013/2/5_WolfSSL%2C_provider_of_CyaSSL_Embedded_SSL%2C_releases_first_embedded_TLS_and_DTLS_protocol_fix_for_Lucky_Thirteen_Attack.html
来源:www.isg.rhul.ac.uk
链接:http://www.isg.rhul.ac.uk/tls/TLStiming.pdf
来源:MLIST
名称:[oss-security]20130205Re:CVErequest:TLSCBCpaddingtimingflawinvariousSSL/TLSimplementations
链接:http://openwall.com/lists/oss-security/2013/02/05/24
来源:SECUNIA
名称:52028
链接:http://secunia.com/advisories/52028