漏洞标题
N/A
漏洞描述信息
在 OpenSSL 0.9.8zf 之前、1.0.0r 之前、1.0.1m 之前和 1.0.2a 之前,s2_srvr.c 中的 get_client_master_key 函数接受任意 cipher 的 CLIENT-MASTER-KEY Clear-KEY-LENGTH 值,这使得中间人攻击者可以通过利用一个 Bleichenbacher RSA 填充oracle,来确定 MASTER-KEY 值并解密 TLS 加密字节数据,从而绕过 CVE-2016-0800 漏洞。
CVSS信息
CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:N
漏洞类别
N/A
漏洞标题
N/A
漏洞描述信息
The get_client_master_key function in s2_srvr.c in the SSLv2 implementation in OpenSSL before 0.9.8zf, 1.0.0 before 1.0.0r, 1.0.1 before 1.0.1m, and 1.0.2 before 1.0.2a accepts a nonzero CLIENT-MASTER-KEY CLEAR-KEY-LENGTH value for an arbitrary cipher, which allows man-in-the-middle attackers to determine the MASTER-KEY value and decrypt TLS ciphertext data by leveraging a Bleichenbacher RSA padding oracle, a related issue to CVE-2016-0800.
CVSS信息
N/A
漏洞类别
N/A
漏洞标题
OpenSSL 安全漏洞
漏洞描述信息
OpenSSL在实现SSL/TLS(SSL,安全套接层协议;TLS,安全传输层协议,用于在两个应用程序通信时间提供保密性和完整性保护。)系列协议过程中,支持多个版本的SSL协议,包括SSLv2、SSLv3等协议。 OpenSSL的SSLv2实现过程存在安全漏洞。攻击者可利用编号为CNNVD-201603-001的漏洞发起DROWN攻击,破解采用TLS协议加密的会话数据,利用编号为CNNVD-201603-005的漏洞缩短完成上述攻击的攻击时间。以下版本受到影响:OpenSSL 0.9.8zf之前版本,1.
CVSS信息
N/A
漏洞类别
信息泄露