CVE-2013-0169 (CNNVD-201302-133)
LOW
中文标题:
多个TLS/DTLS实现加密问题漏洞
英文标题:
The TLS protocol 1.1 and 1.2 and the DTLS protocol 1.0 and 1.2, as used in OpenSSL, OpenJDK, PolarSS...
CVSS分数:
2.6
发布时间:
2013-02-08 19:00:00
漏洞类型:
加密问题
状态:
PUBLISHED
数据质量分数:
0.30
数据版本:
v3
漏洞描述
中文描述:
OpenSSL是OpenSSL团队开发的一个开源的能够实现安全套接层(SSL v2/v3)和安全传输层(TLS v1)协议的通用加密库,它支持多种加密算法,包括对称密码、哈希算法、安全散列算法等。 OpenSSL,OpenJDK,PolarSSL和其它产品中所使用的TLS协议1.1以及1.2,DTLS协议1.0以及1.2中存在漏洞,该漏洞源于程序在处理畸形的CBC填充期间没有正确地研究针对固执的MAC地址检查操作所进行的计时边信道攻击。通过对特制报文的计时数据的统计分析,远程攻击者可利用该漏洞实施区分攻击以及明文恢复攻击。
英文描述:
The TLS protocol 1.1 and 1.2 and the DTLS protocol 1.0 and 1.2, as used in OpenSSL, OpenJDK, PolarSSL, and other products, do not properly consider timing side-channel attacks on a MAC check requirement during the processing of malformed CBC padding, which allows remote attackers to conduct distinguishing attacks and plaintext-recovery attacks via statistical analysis of timing data for crafted packets, aka the "Lucky Thirteen" issue.
CWE类型:
CWE-310
标签:
(暂无数据)
受影响产品
| 厂商 | 产品 | 版本 | 版本范围 | 平台 | CPE |
|---|---|---|---|---|---|
| openssl | openssl | * | - | - |
cpe:2.3:a:openssl:openssl:*:*:*:*:*:*:*:*
|
| oracle | openjdk | 1.6.0 | - | - |
cpe:2.3:a:oracle:openjdk:1.6.0:-:*:*:*:*:*:*
|
| oracle | openjdk | 1.7.0 | - | - |
cpe:2.3:a:oracle:openjdk:1.7.0:-:*:*:*:*:*:*
|
| polarssl | polarssl | 0.10.0 | - | - |
cpe:2.3:a:polarssl:polarssl:0.10.0:*:*:*:*:*:*:*
|
| polarssl | polarssl | 0.10.1 | - | - |
cpe:2.3:a:polarssl:polarssl:0.10.1:*:*:*:*:*:*:*
|
| polarssl | polarssl | 0.11.0 | - | - |
cpe:2.3:a:polarssl:polarssl:0.11.0:*:*:*:*:*:*:*
|
| polarssl | polarssl | 0.11.1 | - | - |
cpe:2.3:a:polarssl:polarssl:0.11.1:*:*:*:*:*:*:*
|
| polarssl | polarssl | 0.12.0 | - | - |
cpe:2.3:a:polarssl:polarssl:0.12.0:*:*:*:*:*:*:*
|
| polarssl | polarssl | 0.12.1 | - | - |
cpe:2.3:a:polarssl:polarssl:0.12.1:*:*:*:*:*:*:*
|
| polarssl | polarssl | 0.13.1 | - | - |
cpe:2.3:a:polarssl:polarssl:0.13.1:*:*:*:*:*:*:*
|
| polarssl | polarssl | 0.14.0 | - | - |
cpe:2.3:a:polarssl:polarssl:0.14.0:*:*:*:*:*:*:*
|
| polarssl | polarssl | 0.14.2 | - | - |
cpe:2.3:a:polarssl:polarssl:0.14.2:*:*:*:*:*:*:*
|
| polarssl | polarssl | 0.14.3 | - | - |
cpe:2.3:a:polarssl:polarssl:0.14.3:*:*:*:*:*:*:*
|
| polarssl | polarssl | 0.99 | - | - |
cpe:2.3:a:polarssl:polarssl:0.99:pre1:*:*:*:*:*:*
|
| polarssl | polarssl | 1.0.0 | - | - |
cpe:2.3:a:polarssl:polarssl:1.0.0:*:*:*:*:*:*:*
|
| polarssl | polarssl | 1.1.0 | - | - |
cpe:2.3:a:polarssl:polarssl:1.1.0:*:*:*:*:*:*:*
|
| polarssl | polarssl | 1.1.1 | - | - |
cpe:2.3:a:polarssl:polarssl:1.1.1:*:*:*:*:*:*:*
|
| polarssl | polarssl | 1.1.2 | - | - |
cpe:2.3:a:polarssl:polarssl:1.1.2:*:*:*:*:*:*:*
|
| polarssl | polarssl | 1.1.3 | - | - |
cpe:2.3:a:polarssl:polarssl:1.1.3:*:*:*:*:*:*:*
|
| polarssl | polarssl | 1.1.4 | - | - |
cpe:2.3:a:polarssl:polarssl:1.1.4:*:*:*:*:*:*:*
|
解决方案
中文解决方案:
(暂无数据)
英文解决方案:
(暂无数据)
临时解决方案:
(暂无数据)
参考链接
[debian-lts-announce] 20180925 [SECURITY] [DLA 1518-1] polarssl security update
mailing-list
cve.org
访问
cve.org
无标题
x_refsource_CONFIRM
cve.org
访问
cve.org
RHSA-2013:0587
vendor-advisory
cve.org
访问
cve.org
GLSA-201406-32
vendor-advisory
cve.org
访问
cve.org
FEDORA-2013-4403
vendor-advisory
cve.org
访问
cve.org
TA13-051A
third-party-advisory
cve.org
访问
cve.org
oval:org.mitre.oval:def:19016
vdb-entry
cve.org
访问
cve.org
MDVSA-2013:095
vendor-advisory
cve.org
访问
cve.org
55139
third-party-advisory
cve.org
访问
cve.org
55322
third-party-advisory
cve.org
访问
cve.org
oval:org.mitre.oval:def:19608
vdb-entry
cve.org
访问
cve.org
无标题
x_refsource_CONFIRM
cve.org
访问
cve.org
无标题
x_refsource_MISC
cve.org
访问
cve.org
无标题
x_refsource_CONFIRM
cve.org
访问
cve.org
无标题
x_refsource_MISC
cve.org
访问
cve.org
无标题
x_refsource_CONFIRM
cve.org
访问
cve.org
openSUSE-SU-2013:0378
vendor-advisory
cve.org
访问
cve.org
DSA-2622
vendor-advisory
cve.org
访问
cve.org
57778
vdb-entry
cve.org
访问
cve.org
无标题
x_refsource_CONFIRM
cve.org
访问
cve.org
[oss-security] 20130205 Re: CVE request: TLS CBC padding timing flaw in various SSL / TLS implementations
mailing-list
cve.org
访问
cve.org
RHSA-2013:1455
vendor-advisory
cve.org
访问
cve.org
55351
third-party-advisory
cve.org
访问
cve.org
HPSBUX02856
vendor-advisory
cve.org
访问
cve.org
无标题
x_refsource_CONFIRM
cve.org
访问
cve.org
SSRT101289
vendor-advisory
cve.org
访问
cve.org
openSUSE-SU-2016:0640
vendor-advisory
cve.org
访问
cve.org
SSRT101108
vendor-advisory
cve.org
访问
cve.org
SUSE-SU-2013:0328
vendor-advisory
cve.org
访问
cve.org
RHSA-2013:0833
vendor-advisory
cve.org
访问
cve.org
USN-1735-1
vendor-advisory
cve.org
访问
cve.org
SUSE-SU-2014:0320
vendor-advisory
cve.org
访问
cve.org
HPSBUX02857
vendor-advisory
cve.org
访问
cve.org
无标题
x_refsource_CONFIRM
cve.org
访问
cve.org
53623
third-party-advisory
cve.org
访问
cve.org
SUSE-SU-2013:0701
vendor-advisory
cve.org
访问
cve.org
VU#737740
third-party-advisory
cve.org
访问
cve.org
oval:org.mitre.oval:def:19424
vdb-entry
cve.org
访问
cve.org
DSA-2621
vendor-advisory
cve.org
访问
cve.org
RHSA-2013:0783
vendor-advisory
cve.org
访问
cve.org
HPSBMU02874
vendor-advisory
cve.org
访问
cve.org
APPLE-SA-2013-09-12-1
vendor-advisory
cve.org
访问
cve.org
55108
third-party-advisory
cve.org
访问
cve.org
RHSA-2013:0782
vendor-advisory
cve.org
访问
cve.org
SUSE-SU-2015:0578
vendor-advisory
cve.org
访问
cve.org
openSUSE-SU-2013:0375
vendor-advisory
cve.org
访问
cve.org
无标题
x_refsource_CONFIRM
cve.org
访问
cve.org
oval:org.mitre.oval:def:19540
vdb-entry
cve.org
访问
cve.org
1029190
vdb-entry
cve.org
访问
cve.org
oval:org.mitre.oval:def:18841
vdb-entry
cve.org
访问
cve.org
无标题
x_refsource_CONFIRM
cve.org
访问
cve.org
RHSA-2013:1456
vendor-advisory
cve.org
访问
cve.org
无标题
x_refsource_CONFIRM
cve.org
访问
cve.org
55350
third-party-advisory
cve.org
访问
cve.org
无标题
x_refsource_CONFIRM
cve.org
访问
cve.org
CVSS评分详情
2.6
LOW
CVSS向量:
AV:N/AC:H/Au:N/C:P/I:N/A:N
CVSS版本:
2.0
机密性
PARTIAL
完整性
NONE
可用性
NONE
时间信息
发布时间:
2013-02-08 19:00:00
修改时间:
2024-08-06 14:18:09
创建时间:
2025-11-11 15:33:30
更新时间:
2025-11-11 15:50:32
利用信息
暂无可利用代码信息
数据源详情
| 数据源 | 记录ID | 版本 | 提取时间 |
|---|---|---|---|
| CVE | cve_CVE-2013-0169 |
2025-11-11 15:18:32 | 2025-11-11 07:33:30 |
| NVD | nvd_CVE-2013-0169 |
2025-11-11 14:54:13 | 2025-11-11 07:42:18 |
| CNNVD | cnnvd_CNNVD-201302-133 |
2025-11-11 15:09:20 | 2025-11-11 07:50:32 |
版本与语言
当前版本:
v3
主要语言:
EN
支持语言:
EN
ZH
安全公告
暂无安全公告信息
变更历史
v3
CNNVD
2025-11-11 15:50:32
vulnerability_type: 未提取 → 加密问题; cnnvd_id: 未提取 → CNNVD-201302-133; data_sources: ['cve', 'nvd'] → ['cnnvd', 'cve', 'nvd']
查看详细变更
- vulnerability_type: 未提取 -> 加密问题
- cnnvd_id: 未提取 -> CNNVD-201302-133
- data_sources: ['cve', 'nvd'] -> ['cnnvd', 'cve', 'nvd']
v2
NVD
2025-11-11 15:42:18
severity: SeverityLevel.MEDIUM → SeverityLevel.LOW; cvss_score: 未提取 → 2.6; cvss_vector: NOT_EXTRACTED → AV:N/AC:H/Au:N/C:P/I:N/A:N; cvss_version: NOT_EXTRACTED → 2.0; affected_products_count: 0 → 20; references_count: 60 → 55; data_sources: ['cve'] → ['cve', 'nvd']
查看详细变更
- severity: SeverityLevel.MEDIUM -> SeverityLevel.LOW
- cvss_score: 未提取 -> 2.6
- cvss_vector: NOT_EXTRACTED -> AV:N/AC:H/Au:N/C:P/I:N/A:N
- cvss_version: NOT_EXTRACTED -> 2.0
- affected_products_count: 0 -> 20
- references_count: 60 -> 55
- data_sources: ['cve'] -> ['cve', 'nvd']