CVE-2023-6937 in wolfSSLinformación

Resumen

por MITRE • 2024-02-15

wolfSSL anterior a 5.6.6 no verificaba que los mensajes en un registro (D)TLS no abarquen límites clave. Como resultado, fue posible combinar mensajes (D)TLS usando diferentes claves en un registro (D)TLS. El caso más extremo es que, en (D)TLS 1.3, era posible que un registro (D)TLS 1.3 no cifrado del servidor que contuviera primero un mensaje ServerHello y luego el resto del primer vuelo del servidor fuera aceptado por un wolfSSL. cliente. En (D)TLS 1.3, el protocolo de enlace se cifra después de ServerHello, pero un cliente wolfSSL aceptaría un vuelo sin cifrar desde el servidor. Esto no compromete la negociación y autenticación de claves, por lo que se le asigna una calificación de gravedad baja.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

Responsable

wolfSSL Inc.

Reservar

2023-12-18

Divulgación

2024-02-15

Moderación

aceptado

Artículo

VDB-253948

CPE

listo

EPSS

0.00513

KEV

no

Actividades

muy bajo

Fuentes

Do you know our Splunk app?

Download it now for free!