客户端 TLS1.3 降级时使用的密码套件未经验证(CVE-2024-5814)

admin 2024-08-28 15:51:19 Ali_nvd 来源:ZONE.CI 全球网 0 阅读模式
客户端 TLS1.3 降级时使用的密码套件未经验证(CVE-2024-5814)

CVE编号

CVE-2024-5814

利用情况

暂无

补丁情况

N/A

披露时间

2024-08-28
漏洞描述
一个恶意的TLS 1.2服务器可以强制具有降级能力的TLS 1.3客户端使用其未同意的密码套件,并成功建立连接。这是因为除了扩展之外,客户端在跳过完全解析服务器问候信息的过程中存在问题。相关论文链接:[https://doi.org/10.46586/tches.v2024.i1.457-500](https://doi.org/10.46586/tches.v2024.i1.457-500)(注:该链接指向一篇关于此漏洞的论文)。
解决建议
建议您更新当前系统或软件至最新版,完成漏洞的修复。
参考链接
https://github.com/wolfSSL/wolfssl/blob/master/ChangeLog.md
CVSS3评分 N/A
  • 攻击路径 N/A
  • 攻击复杂度 N/A
  • 权限要求 N/A
  • 影响范围 N/A
  • 用户交互 N/A
  • 可用性 N/A
  • 保密性 N/A
  • 完整性 N/A
N/A
CWE-ID 漏洞类型
- avd.aliyun.com
weinxin
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
评论:0   参与:  0