发布日期：2020-08-24
更新日期：2020-09-03

受影响系统：

wolfssl wolfssl < 4.5.0

描述：

---

CVE(CAN) ID: CVE-2020-24613

wolfSSL（前称CyaSSL）是美国wolfSSL公司的一个针对嵌入式系统开发人员使用的小的、可移植的嵌入式SSL编程库。
wolf 4.5.0之前版本存在客户端中间人攻击漏洞。该漏洞源于程序在tls13.c的SanityCheckTls13MsgReceived（）中以WAIT_CERT_CR状态对TLS 1.3服务器数据进行了不当处理。处于权限网络位置的攻击者可利用该漏洞模拟任何TLS 1.3服务器、使用wolfSSL库和TLS服务器在客户端之间读取或修改潜在的敏感信息。

<**>

建议：

---

厂商补丁：

wolfssl
-------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：
https://www.wolfssl.com/

浏览次数：875
严重程度：0（网友投票）