CyaSSL信息泄露漏洞(CVE-2013-1623)
CyaSSL信息泄露漏洞(CVE-2013-1623)
发布日期:2013-02-05
更新日期:2013-02-26
受影响系统:
CyaSSL CyaSSL
描述:
--------------------------------------------------------------------------------
BUGTRAQ ID: 57780
CVE(CAN) ID: CVE-2013-1623
CyaSSL是针对嵌入系统开发人员的小型的便携嵌入式SSL编程库。
wolfSSL CyaSSL 2.5.0d TLS和DTLS没有正确处理畸形CBC报文,通过构造特殊报文可导致其只检查明文的最后一字节而不是所有的padding字节,进而允许远程攻击者通过统计分析特制报文的定时数据,执行区别攻击和纯文本恢复攻击。
<*来源:Nadhem J. AlFardan
链接:http://openwall.com/lists/oss-security/2013/02/05/24
http://www.yassl.com/yaSSL/Blog/Entries/2013/2/5_WolfSSL%2C_provider_of_CyaSSL_Embedded_SSL%2C_releases_first_embedded_TLS_and_DTLS_protocol_fix_for_Lucky_Thirteen_Attack.html
*>
建议:
--------------------------------------------------------------------------------
厂商补丁:
CyaSSL
------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://www.yassl.com/yaSSL/Products-cyassl.html
评论暂时关闭