App + Firebase应用程序易受Lucky13攻击

Question

最近，我在我的React.js web应用程序上经历了一家第三方公司的五分之五，托管在Firebase主机上(+身份验证、功能和存储)，而该公司指出的一个漏洞是Server Vulnerable to Lucky13 TLS Exploit。我试图对这个漏洞进行一些研究，但看起来这是一个比较老的漏洞，我不确定它是否仍然与现代应用程序相关。有没有人对这个漏洞有任何洞察力，或者我是否应该担心，或者这是一个虚假的标志？以下是该公司提供的详细资料：

Vulnerability Standard: NIST:
CWE ID: CWE-310

Description:
The web application seems to be vulnerable to the LUCKY13 attack.
LUCKY13 is a timing attack that can be used against servers
implementing some versions of the TLS protocol (1.1 and 1.2) that
support cipher suites that use cipher block chaining (CBC). It has the
potential to allow attackers to work out the contents of encrypted
communications between the client and server.

Recommendation:
Disable support for TLS cipher suites that use cipher block chaining
(CBC) mode.

References:
https://www.openssl.org/news/vulnerabilities.html https://
en.wikipedia.org/wiki/Lucky_Thirteen_attack

Answer 1

根据这个文章，提到的漏洞不应该是一个问题。

这里有一个视频，解释了为什么这不应该是一个问题。