发布日期：2013-02-05
更新日期：2013-02-25

受影响系统：

CyaSSL CyaSSL

描述：

---

BUGTRAQ  ID: 57780
CVE(CAN) ID: CVE-2013-1623

CyaSSL是针对嵌入系统开发人员的小型的便携嵌入式SSL编程库。

wolfSSL CyaSSL 2.5.0d TLS和DTLS没有正确处理畸形CBC报文，通过构造特殊报文可导致其只检查明文的最后一字节而不是所有的padding字节，进而允许远程攻击者通过统计分析特制报文的定时数据，执行区别攻击和纯文本恢复攻击。

<*来源：Nadhem J. AlFardan
  
  链接：http://openwall.com/lists/oss-security/2013/02/05/24
        http://www.yassl.com/yaSSL/Blog/Entries/2013/2/5_WolfSSL%2C_provider_of_CyaSSL_Embedded_SSL%2C_releases_first_embedded_TLS_and_DTLS_protocol_fix_for_Lucky_Thirteen_Attack.html
*>

建议：

---

厂商补丁：

CyaSSL
------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://www.yassl.com/yaSSL/Products-cyassl.html

浏览次数：3864
严重程度：0（网友投票）