漏洞信息详情

HTTPS 信息泄露漏洞

• CNNVD编号：CNNVD-201308-595
• 危害等级： 中危
  
• CVE编号： CVE-2013-3587
• 漏洞类型： 信息泄露
• 发布时间： 2013-08-05
• 威胁类型： 远程
• 更新时间： 2021-04-12
• 厂        商：
• 漏洞来源： Neal Harris and Y...

漏洞简介

HTTPS（Hypertext Transfer Protocol Secure,超文本传输安全协议）是一种网络安全传输协议，它在计算机网络上经由超文本传输协议（HTTP）进行通信，利用SSL/TLS来对数据包进行加密。HTTPS开发的主要目的，是提供对网络服务器的身份认证，保护交换数据的隐私与完整性。

HTTPS协议存在信息泄露漏洞，该漏洞源于程序在加密压缩数据时未对加密数据的长度进行混淆。攻击者通过进行一系列猜测并观察长度差异利用该漏洞获取明文形式的敏感信息。

漏洞公告

目前厂商暂未发布修复措施解决此安全问题，建议使用此软件的用户随时关注厂商主页或参考网址以获取解决办法：

http://breachattack.com/

参考网址

来源:MISC

链接:https://www.djangoproject.com/weblog/2013/aug/06/breach-and-django/

来源:http-compression-safe#20407

链接:http-compression-safe#20407

来源:MISC

链接:http://security.stackexchange.com/questions/20406/is-

来源:MISC

链接:https://bugzilla.redhat.com/show_bug.cgi?id=995168

来源:MISC

链接:https://hackerone.com/reports/254895

来源:MISC

链接:http://breachattack.com/

来源:MISC

链接:http://slashdot.org/story/13/08/05/233216

来源:MISC

链接:https://support.f5.com/csp/article/K14634

来源:MISC

链接:http://www.iacr.org/cryptodb/archive/2002/FSE/3091/3091.pdf

来源:httpd.apache.org%3E

链接:httpd.apache.org%3E

来源:MLIST

链接:https://lists.apache.org/thread.HTML/r7f0e9cfd166934172d43ca4c272b8bdda4a343036229d9937affd1e1@%3Cdev.

来源:MISC

链接:http://www.kb.cert.org/vuls/id/987798

来源:MISC

链接:https://www.blackhat.com/us-13/briefings.HTML#Prado

来源:MISC

链接:http://github.com/meldium/breach-mitigation-rails

来源:nvd.nist.gov

链接:https://nvd.nist.gov/vuln/detail/CVE-2013-3587

受影响实体

暂无

补丁

暂无