漏洞标题
N/A
漏洞描述信息
在 wolfSSL 5.5.1 之前,恶意客户端可以在 TLS 1.3 握手过程中引发缓冲区溢出。这通常是当攻击者恢复先前的 TLS 会话时发生的。在恢复的客户端 Hello 中,必须触发一个 Hello Retry Request。两个客户端 Hello 都需要具备一个重复的加密套件列表来触发缓冲区溢出。因此,总共需要发送两个客户端 Hello:一个是恢复会话时发送的,另一个是作为 Hello Retry Request 消息的响应。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
漏洞类别
N/A
漏洞标题
N/A
漏洞描述信息
In wolfSSL before 5.5.1, malicious clients can cause a buffer overflow during a TLS 1.3 handshake. This occurs when an attacker supposedly resumes a previous TLS session. During the resumption Client Hello a Hello Retry Request must be triggered. Both Client Hellos are required to contain a list of duplicate cipher suites to trigger the buffer overflow. In total, two Client Hellos have to be sent: one in the resumed session, and a second one as a response to a Hello Retry Request message.
CVSS信息
N/A
漏洞类别
N/A
漏洞标题
wolfSSL 缓冲区错误漏洞
漏洞描述信息
wolfSSL(CyaSSL)是美国wolfSSL公司的一个针对嵌入式系统开发人员使用的小的、可移植的嵌入式SSL编程库。 wolfSSL 5.5.1 之前版本存在安全漏洞,该漏洞源于恶意客户端可能会在 TLS 1.3 握手期间导致缓冲区溢出。
CVSS信息
N/A
漏洞类别
缓冲区错误