Уязвимость в "crypto/tls" в Go, позволяющая корреляцию соединений через значения "ticket_age_add"
Описание
Уязвимость связана с использованием непредсказуемых значений ticket_age_add в сессионных тикетах в crypto/tls. Злоумышленник, способный наблюдать за процессом установки TLS соединений (handshakes), способен соотнести последовательные соединения, анализируя время жизни тикетов во время возобновления сессии.
Затронутые версии ПО
- Go версии до 1.17.11
- Go версии до 1.18.3
Тип уязвимости
- Корреляция соединений
- Утечка информации
Ссылки
- Patch
- ExploitIssue TrackingVendor Advisory
- Mailing ListPatch
- Mailing ListVendor Advisory
- Vendor Advisory
- Patch
- ExploitIssue TrackingVendor Advisory
- Mailing ListPatch
- Mailing ListVendor Advisory
- Vendor Advisory
Уязвимые конфигурации
Одно из
EPSS
3.1 Low
CVSS3
Дефекты
Связанные уязвимости
Non-random values for ticket_age_add in session tickets in crypto/tls before Go 1.17.11 and Go 1.18.3 allow an attacker that can observe TLS handshakes to correlate successive connections by comparing ticket ages during session resumption.
Non-random values for ticket_age_add in session tickets in crypto/tls before Go 1.17.11 and Go 1.18.3 allow an attacker that can observe TLS handshakes to correlate successive connections by comparing ticket ages during session resumption.
Session tickets lack random ticket_age_add in crypto/tls
Non-random values for ticket_age_add in session tickets in crypto/tls ...
Non-random values for ticket_age_add in session tickets in crypto/tls before Go 1.17.11 and Go 1.18.3 allow an attacker that can observe TLS handshakes to correlate successive connections by comparing ticket ages during session resumption.
EPSS
3.1 Low
CVSS3