OpenSSL AES-NI CBC Padding Oracle MAC校验安全漏洞

漏洞描述

OpenSSL 1.0.2, 1.0.1版本未充分修补CVE-2013-0169(Lucky 13 padding attack)漏洞。可使中间人攻击者解密使用AES CBC模式加密的网络流量。此漏洞源于在CVE-2013-0169的修复中, 虽然通过对填充字段的检查,确保每次都读取相同字节并比较消息摘要和填充字节的数据, 但其没有检查是否有足够的空间容纳消息摘要和填充字节的数据。

受影响系统:

OpenSSL Project OpenSSL <1.0.2h

OpenSSL Project OpenSSL <1.0.1t

不受影响系统:

OpenSSL Project OpenSSL 1.0.2h

OpenSSL Project OpenSSL 1.0.1t

漏洞检测

基于openssl版本检测

漏洞修复

升级openssl版本

results matching ""

    No results matching ""