CyaSSL信息泄露漏洞（CVE-2013-1623）

发布日期：2013-02-05
更新日期：2013-02-26受影响系统：
CyaSSL CyaSSL
描述：
--------------------------------------------------------------------------------
BUGTRAQ ID: 57780
CVE（CAN） ID: CVE-2013-1623

CyaSSL是针对嵌入系统开发人员的小型的便携嵌入式SSL编程库。

wolfSSL CyaSSL 2.5.0d TLS和DTLS没有正确处理畸形CBC报文，通过构造特殊报文可导致其只检查明文的最后一字节而不是所有的padding字节，进而允许远程攻击者通过统计分析特制报文的定时数据，执行区别攻击和纯文本恢复攻击。

<*来源：Nadhem J. AlFardan

链接：http://openwall.com/lists/oss-security/2013/02/05/24
http://www.yassl.com/yaSSL/Blog/Entries/2013/2/5_WolfSSL%2C_provider_of_CyaSSL_Embedded_SSL%2C_releases_first_embedded_TLS_and_DTLS_protocol_fix_for_Lucky_Thirteen_Attack.html
*>建议：
--------------------------------------------------------------------------------
厂商补丁：

CyaSSL
------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://www.yassl.com/yaSSL/Products-cyassl.htmlSamsung Galaxy S3锁屏安全绕过漏洞RubyGems "ruby_parser"不安全临时文件创建漏洞相关资讯 CyaSSL CyaSSL安全漏洞

CyaSSL多个安全漏洞（04/14/2014 18:55:41）
CyaSSL 2.9.0 发布，SSL 加密库（02/11/2014 09:15:14）
CyaSSL 2.5.0 发布，SSL 加密库（02/08/2013 10:33:53）

CyaSSL 2.9.4 发布，SSL 加密库（04/12/2014 11:00:36）
CyaSSL 2.7.0 发布，SSL 加密库（06/26/2013 08:57:16）
SSL加密库 CyaSSL （12/27/2012 10:10:49）

本文评论查看全部评论（0）

评论声明

尊重网上道德，遵守中华人民共和国的各项有关法律法规
承担一切因您的行为而直接或间接导致的民事或刑事法律责任
本站管理人员有权保留或删除其管辖留言中的任意内容
本站有权在网站内转载或引用您的评论