Уязвимость в "crypto/tls" в Go, позволяющая корреляцию соединений через значения "ticket_age_add"
Описание
Уязвимость связана с использованием непредсказуемых значений ticket_age_add в сессионных тикетах в crypto/tls. Злоумышленник, способный наблюдать за процессом установки TLS соединений (handshakes), способен соотнести последовательные соединения, анализируя время жизни тикетов во время возобновления сессии.
Затронутые версии ПО
- Go версии до 1.17.11
- Go версии до 1.18.3
Тип уязвимости
- Корреляция соединений
- Утечка информации
Ссылки
- Patch
- ExploitIssue TrackingVendor Advisory
- Mailing ListPatch
- Mailing ListVendor Advisory
- Vendor Advisory
- Patch
- ExploitIssue TrackingVendor Advisory
- Mailing ListPatch
- Mailing ListVendor Advisory
- Vendor Advisory
Уязвимые конфигурации
Одно из
EPSS
3.1 Low
CVSS3
Дефекты
Связанные уязвимости
Non-random values for ticket_age_add in session tickets in crypto/tls before Go 1.17.11 and Go 1.18.3 allow an attacker that can observe TLS handshakes to correlate successive connections by comparing ticket ages during session resumption.
Non-random values for ticket_age_add in session tickets in crypto/tls before Go 1.17.11 and Go 1.18.3 allow an attacker that can observe TLS handshakes to correlate successive connections by comparing ticket ages during session resumption.
Non-random values for ticket_age_add in session tickets in crypto/tls ...
Non-random values for ticket_age_add in session tickets in crypto/tls before Go 1.17.11 and Go 1.18.3 allow an attacker that can observe TLS handshakes to correlate successive connections by comparing ticket ages during session resumption.
EPSS
3.1 Low
CVSS3