CVSS: 5.8EPSS: 0%CPEs: 45EXPL: 0CVE-2014-2900
https://notcve.org/view.php?id=CVE-2014-2900
wolfSSL CyaSSL before 2.9.4 does not properly validate X.509 certificates with unknown critical extensions, which allows man-in-the-middle attackers to spoof servers via crafted X.509 certificate. wolfSSL CyaSSL anterior a 2.9.4 no valida debidamente certificados X.509 con extensiones críticas desconocidas, lo que permite a atacantes man-in-the-middle falsificar servidores a través de certificado X.509 manipulado. • http://seclists.org/oss-sec/2014/q2/126 http://seclists.org/oss-sec/2014/q2/130 http://secunia.com/advisories/57743 http://www.securityfocus.com/bid/66780 http://www.wolfssl.com/yaSSL/Blog/Entries/2014/4/11_wolfSSL_Security_Advisory__April_9%2C_2014.html http://www.wolfssl.com/yaSSL/Docs-cyassl-changelog.html https://security.gentoo.org/glsa/201612-53 • CWE-310: Cryptographic Issues •
CVSS: 5.0EPSS: 5%CPEs: 45EXPL: 0CVE-2014-2899
https://notcve.org/view.php?id=CVE-2014-2899
wolfSSL CyaSSL before 2.9.4 allows remote attackers to cause a denial of service (NULL pointer dereference) via (1) a request for the peer certificate when a certificate parsing failure occurs or (2) a client_key_exchange message when the ephemeral key is not found. wolfSSL CyaSSL anterior a 2.9.4 permite a atacantes remotos causar una denegación de servicio (referencia a puntero nulo) a través de (1) una solicitud para el certificado de par cuando sucede un fallo de análisis sintáctico de certificado o (2) un mensaje client_key_exchange cuando la clave efímera no se encuentra. • http://seclists.org/oss-sec/2014/q2/126 http://seclists.org/oss-sec/2014/q2/130 http://secunia.com/advisories/57743 http://www.securityfocus.com/bid/66780 http://www.wolfssl.com/yaSSL/Blog/Entries/2014/4/11_wolfSSL_Security_Advisory__April_9%2C_2014.html http://www.wolfssl.com/yaSSL/Docs-cyassl-changelog.html https://security.gentoo.org/glsa/201612-53 • CWE-20: Improper Input Validation •
CVSS: 4.3EPSS: 0%CPEs: 40EXPL: 0CVE-2013-1623
https://notcve.org/view.php?id=CVE-2013-1623
The TLS and DTLS implementations in wolfSSL CyaSSL before 2.5.0 do not properly consider timing side-channel attacks on a noncompliant MAC check operation during the processing of malformed CBC padding, which allows remote attackers to conduct distinguishing attacks and plaintext-recovery attacks via statistical analysis of timing data for crafted packets, a related issue to CVE-2013-0169. Las implementaciones de TLS y DTLS de wolfSSL CyaSSL antes de v2.5.0 no cosnidera el tiempo de canal lateral ataques a una operación de comprobación de incumplimiento de MAC durante el proceso de relleno CBC malformado, lo que permite a atacantes remotos para realizar ataques distintivos y los ataques de recuperación de texto plano-a través de estadística análisis de los datos de tiempo de los paquetes hechos a mano, una cuestión relacionada con CVE-2013-0169. • http://openwall.com/lists/oss-security/2013/02/05/24 http://secunia.com/advisories/53372 http://security.gentoo.org/glsa/glsa-201308-06.xml http://www.isg.rhul.ac.uk/tls/TLStiming.pdf http://www.yassl.com/yaSSL/Blog/Entries/2013/2/5_WolfSSL%2C_provider_of_CyaSSL_Embedded_SSL%2C_releases_first_embedded_TLS_and_DTLS_protocol_fix_for_Lucky_Thirteen_Attack.html • CWE-310: Cryptographic Issues •