漏洞标题
N/A
漏洞描述信息
在 OpenSSL 0.9.7a 之前和 0.9.6 之前在 0.9.6i 之前,s3_pkt.c 中的ssl3_get_record 函数在使用了不正确的块加密填充(即填充错误)时,不会执行 MAC 计算,这会导致信息泄漏(时间差异)。这可能导致依赖于填充错误和 MAC 验证错误的 cryptographic 攻击更容易实施,甚至可能从原始文本中提取出来,即“Vaudenay 时间攻击”。
CVSS信息
CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:N
漏洞类别
N/A
漏洞标题
N/A
漏洞描述信息
ssl3_get_record in s3_pkt.c for OpenSSL before 0.9.7a and 0.9.6 before 0.9.6i does not perform a MAC computation if an incorrect block cipher padding is used, which causes an information leak (timing discrepancy) that may make it easier to launch cryptographic attacks that rely on distinguishing between padding and MAC verification errors, possibly leading to extraction of the original plaintext, aka the "Vaudenay timing attack."
CVSS信息
N/A
漏洞类别
N/A
漏洞标题
OpenSSL CBC错误信息泄露漏洞
漏洞描述信息
OpenSSL 0.9.7a之前的版本和0.9.6i之前的0.9.6版本中s3_pkt.c的ssl3_get_record如果使用不正确分组密码进行填充,将不执行MAC计算,可以导致信息泄露(时序差异),该漏洞可能更容易导致凭借区分填充和MAC检验错误差别的加密攻击,并且可能导致原始明文被提取,也称为“Vaudenay timing attack”。
CVSS信息
N/A
漏洞类别
授权问题