Lennyniu Tlslite-ng 加密问题漏洞

CNNVD-ID编号	CNNVD-202012-1444
CVE编号	CVE-2020-26263
发布时间	2020-12-21
更新时间	2020-12-24
漏洞类型	加密问题
漏洞来源	N/A
危险等级	高危
威胁类型	远程
厂商	N/A

漏洞介绍

Lennyniu Tlslite-ng是Lennyniu个人开发者的一个基于Python用于提供SSLv3.0, TLS 1.0, TLS 1.1 and TLS 1.2的代码库。

tlslite-ng 0.7.6和0.8.0-alpha39之前存在加密问题漏洞，该漏洞源于在RSA PKCS＃1 v1.5解密中执行解密和填充检查的代码依赖于数据。具体来说，代码有多种方式可以泄露关于解密密文的信息。只要明文开头不是0x00, 0x02，它就会中止。所有启用RSA密钥交换的TLS服务器以及直接使用RSA解密API的应用程序都是易受攻击的。

漏洞补丁

目前厂商已发布升级了Lennyniu Tlslite-ng 加密问题漏洞的补丁，Lennyniu Tlslite-ng 加密问题漏洞的补丁获取链接：

https://github.com/tlsfuzzer/tlslite-ng/commit/c28d6d387bba59d8bd5cb3ba15edc42edf54b368

参考网址

来源:MISC

链接：https://pypi.org/project/tlslite-ng/
来源:MISC

链接：https://github.com/tlsfuzzer/tlslite-ng/pull/438
来源:MISC

链接：https://github.com/tlsfuzzer/tlslite-ng/pull/439
来源:MISC

链接：https://securitypitfalls.wordpress.com/2018/08/03/constant-time-compare-in-python/
来源:CONFIRM

链接：https://github.com/tlsfuzzer/tlslite-ng/security/advisories/GHSA-wvcv-832q-fjg7
来源:MISC

链接：https://github.com/tlsfuzzer/tlslite-ng/commit/c28d6d387bba59d8bd5cb3ba15edc42edf54b368

受影响实体

暂无

信息来源

http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-202012-1444