nvd
Yassl
Уязвимости
8
Эксплуатируемые
0
Критический
1
Высокий
3
Топ уязвимостей
CVE-2005-3731Неуказанная уязвимость в yaSSL до версии 1.0.6 имеет неизвестное воздействие и векторы атак, связанные с "обработкой цепочки сертификатов".
CVE-2011-2900Переполнение буфера на основе стека в (1) функции put_dir в mongoose.c в Mongoose 3.0, (2) функции put_dir в yasslEWS.c в yaSSL Embedded Web Server (yasslEWS) 0.2 и (3) функции _shttpd_put_dir в io_dir.c в Simple HTTPD (shttpd) 1.42 позволяет удаленным злоумышленникам выполнять произвольный код через HTTP-запрос PUT, как это использовалось в дикой природе в 2011 году.
CVE-2008-0227yaSSL 1.7.5 и более ранние версии, используемые в MySQL и, возможно, в других продуктах, позволяют удаленным злоумышленникам вызывать отказ в обслуживании (сбой) через пакет Hello, содержащий большое значение размера, что приводит к переполнению буфера при чтении в функции HASHwithTransform::Update в hash.cpp.
CVE-2008-0226Множественные переполнения буфера в yaSSL 1.7.5 и более ранних версиях, используемых в MySQL и, возможно, в других продуктах, позволяют удаленным злоумышленникам выполнять произвольный код через (1) функцию ProcessOldClientHello в handshake.cpp или (2) "input_buffer\u0026 operator>>" в yassl_imp.cpp.
CVE-2014-2900wolfSSL CyaSSL до версии 2.9.4 неправильно проверяет сертификаты X.509 с неизвестными критическими расширениями, что позволяет злоумышленникам, находящимся посередине, подделывать серверы через специально созданный сертификат X.509.
CVE-2013-1623Реализации TLS и DTLS в wolfSSL CyaSSL до версии 2.5.0 неправильно учитывают атаки по сторонним каналам времени на несовместимую операцию проверки MAC во время обработки неправильно сформированного заполнения CBC, что позволяет удаленным злоумышленникам проводить разграничительные атаки и атаки восстановления открытого текста посредством статистического анализа данных о времени для созданных пакетов, что связано с проблемой CVE-2013-0169.
CVE-2014-2899wolfSSL CyaSSL до версии 2.9.4 позволяет удаленным злоумышленникам вызывать отказ в обслуживании (NULL pointer dereference) через (1) запрос сертификата пира при возникновении ошибки разбора сертификата или (2) сообщение client_key_exchange, когда не найден эфемерный ключ.
CVE-2012-1558yaSSL CyaSSL до версии 2.0.8 позволяет удаленным злоумышленникам вызывать отказ в обслуживании (разрушение указателя NULL и сбой приложения) через специально созданный сертификат X.509.