Lennyniu Tlslite-ng 加密问题漏洞
| CNNVD-ID编号 | CNNVD-202012-1444 | CVE编号 | CVE-2020-26263 |
| 发布时间 | 2020-12-21 | 更新时间 | 2020-12-24 |
| 漏洞类型 | 加密问题 | 漏洞来源 | N/A |
| 危险等级 | 高危 | 威胁类型 | 远程 |
| 厂商 | N/A | ||
漏洞介绍
Lennyniu Tlslite-ng是Lennyniu个人开发者的一个基于Python用于提供SSLv3.0, TLS 1.0, TLS 1.1 and TLS 1.2的代码库。
tlslite-ng 0.7.6和0.8.0-alpha39之前存在加密问题漏洞,该漏洞源于在RSA PKCS#1 v1.5解密中执行解密和填充检查的代码依赖于数据。具体来说,代码有多种方式可以泄露关于解密密文的信息。只要明文开头不是0x00, 0x02,它就会中止。所有启用RSA密钥交换的TLS服务器以及直接使用RSA解密API的应用程序都是易受攻击的。
漏洞补丁
目前厂商已发布升级了Lennyniu Tlslite-ng 加密问题漏洞的补丁,Lennyniu Tlslite-ng 加密问题漏洞的补丁获取链接:
https://github.com/tlsfuzzer/tlslite-ng/commit/c28d6d387bba59d8bd5cb3ba15edc42edf54b368
参考网址
来源:MISC
链接:https://pypi.org/project/tlslite-ng/
来源:MISC
链接:https://github.com/tlsfuzzer/tlslite-ng/pull/438
来源:MISC
链接:https://github.com/tlsfuzzer/tlslite-ng/pull/439
来源:MISC
链接:https://securitypitfalls.wordpress.com/2018/08/03/constant-time-compare-in-python/
来源:CONFIRM
链接:https://github.com/tlsfuzzer/tlslite-ng/security/advisories/GHSA-wvcv-832q-fjg7
来源:MISC
链接:https://github.com/tlsfuzzer/tlslite-ng/commit/c28d6d387bba59d8bd5cb3ba15edc42edf54b368
受影响实体
暂无
信息来源
http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-202012-1444
评论