客户端 TLS1.3 降级时使用的密码套件未经验证(CVE-2024-5814)
CVE编号
CVE-2024-5814利用情况
暂无补丁情况
N/A披露时间
2024-08-28漏洞描述
一个恶意的TLS 1.2服务器可以强制具有降级能力的TLS 1.3客户端使用其未同意的密码套件,并成功建立连接。这是因为除了扩展之外,客户端在跳过完全解析服务器问候信息的过程中存在问题。相关论文链接:[https://doi.org/10.46586/tches.v2024.i1.457-500](https://doi.org/10.46586/tches.v2024.i1.457-500)(注:该链接指向一篇关于此漏洞的论文)。解决建议
建议您更新当前系统或软件至最新版,完成漏洞的修复。
参考链接 |
|
|---|---|
| https://github.com/wolfSSL/wolfssl/blob/master/ChangeLog.md |
- 攻击路径 N/A
- 攻击复杂度 N/A
- 权限要求 N/A
- 影响范围 N/A
- 用户交互 N/A
- 可用性 N/A
- 保密性 N/A
- 完整性 N/A
| CWE-ID | 漏洞类型 |
Exp相关链接
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。
评论