发布日期：2013-02-06
更新日期：2013-02-28

受影响系统：

OpenSSL Project OpenSSL

描述：

---

BUGTRAQ  ID: 57778
CVE(CAN) ID: CVE-2013-0169

OpenSSL、PolarSSL、OpenJDK在处理畸形CBC padding时，TLS和DTLS的实现上存在信息泄露漏洞，虽然会对某些数据执行MAC检查以阻止timing攻击，但是TLS 1.1和1.2 RFC没有正确检查padding的长度。攻击者可利用此漏洞获取敏感信息。

<*来源：Nadhem Alfardan
  
  链接：http://openwall.com/lists/oss-security/2013/02/05/24
        http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-0169
*>

建议：

---

厂商补丁：

OpenSSL Project
---------------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://www.openssl.org/

浏览次数：4926
严重程度：0（网友投票）