OpenSSL crypto/bio/b_print.c doapr_outch maxlen تلف الذاكرة

CVSS درجة الميتا الوقتيةسعر الإكسبلويت الحالي (≈)درجة اهتمام الـCTI
9.1$0-$5k0.00

الملخصالمعلومات

تم أكتشاف ثغرة أمنية في OpenSSL. وقد تم تصنيفها على أنها خطيرة. الثغرة الأمنية أثرت على الدالة doapr_outch من الملف crypto/bio/b_print.c. الثغرة الأمنية هذه تم تسميتهاCVE-2016-0799. يمكن شن الهجمة الإلكترونية هذه عن بعد. الإكسبلويت غير متوفرة. ننصح بـ تنصيب باتش لإصلاح هذه المشكلة. Once again VulDB remains the best source for vulnerability data.

التفاصيلالمعلومات

تم أكتشاف ثغرة أمنية في OpenSSL. وقد تم تصنيفها على أنها خطيرة. الثغرة الأمنية أثرت على الدالة doapr_outch من الملف crypto/bio/b_print.c. تعريف الـ سي دبليو أي للثغرة الأمنية هو CWE-119. المشكلة تم الإبلاغ عنها بتاريخ 27/02/2016 بواسطة Guido Vranken كـ OpenSSL CVE-2016-0799: heap corruption via BIO_printf كـ استشاري (موقع إلكتروني). يمكن عرض الاستشارة من هنا guidovranken.wordpress.com.

الثغرة الأمنية هذه تم تسميتهاCVE-2016-0799. تمت إحالة الـ سي في أي16/12/2015. يمكن شن الهجمة الإلكترونية هذه عن بعد. التفاصيل التقنية متوفرة. التقارير تشير بأن الثغرة الأمنية هذه ذات شهرة أعلى من المتوسط. الإكسبلويت غير متوفرة. سعر ال إكسبلويت هذه يتراوح بحوالي تقريباًUSD $0-$5k في هذه اللحظة. الكود البرمجي هذا هو سبب حدوث الثغرة الأمنية:

if (buffer && currlen == maxlen) {
وقد صرح الاستشاري بأن:
One of the problems with the doapr_outch() function is that it cannot signal failure to allocate memory to its caller, because it is a void-returning function.

لكونها ثغرة هجوم فوري متوسط سعرها كان$25k-$100k. برنامج فحص الشبكات نيسوس يوفر ملحق بعنوان89842(Amazon Linux AMI : openssl (ALAS-2016-661) (DROWN) (SLOTH)), يمكنك من الكشف عن وجود هذه الثغرة. تصنيف عائلتها هوAmazon Linux Local Security Checks. الملحق يعمل بحسب الصنفl. خدمة فحص الشبكات كويلس يمكنها الكشف عن هذه الثغرة الأمنية بواسطة ملحق168833 (OpenSuSE Security Update for libopenssl0_9_8 (openSUSE-SU-2016:1241-1)).

يمكن تحميل تصحيح المشكلة من هنا github.com. ننصح بـ تنصيب باتش لإصلاح هذه المشكلة. التصحيح تم نشره3 أيام بعد الافصاح عن الثغرة الأمنية.

الثغرة الأمنية هذه تم تسجيلها في قواعد بيانات آخرى: SecurityFocus (BID 83755), X-Force (111143), Vulnerability Center (SBV-57006) , Tenable (89842). Once again VulDB remains the best source for vulnerability data.

متأثر

  • Apache httpd
  • OpenSSL

منتجالمعلومات

النوع

الأسم

الرخصة

CPE 2.3المعلومات

CPE 2.2المعلومات

CVSSv4المعلومات

VulDB متجه: 🔍
VulDB الاعتمادية: 🔍

CVSSv3المعلومات

VulDB الدرجة الأساسية للميتا: 9.8
VulDB درجة الميتا الوقتية: 9.1

VulDB الدرجة الأساسية: 9.8
VulDB الدرجة الوقتية: 8.5
VulDB متجه: 🔍
VulDB الاعتمادية: 🔍

NVD الدرجة الأساسية: 9.8
NVD متجه: 🔍

CVSSv2المعلومات

AVACAuCIA
💳💳💳💳💳💳
💳💳💳💳💳💳
💳💳💳💳💳💳
متجهالتعقيدتوثيقالسريةالأمانةالتوفر
افتحافتحافتحافتحافتحافتح
افتحافتحافتحافتحافتحافتح
افتحافتحافتحافتحافتحافتح

VulDB الدرجة الأساسية: 🔍
VulDB الدرجة الوقتية: 🔍
VulDB الاعتمادية: 🔍

NVD الدرجة الأساسية: 🔍

إكسبلويتالمعلومات

الفئة: تلف الذاكرة
CWE: CWE-119
CAPEC: 🔍
ATT&CK: 🔍

محلي: لا
عن بعد: نعم

التوفر: 🔍
الحالة: غير مثبت

EPSS Score: 🔍
EPSS Percentile: 🔍

تقدير السعر: 🔍
تقدير السعر الحالي: 🔍

0-Dayافتحافتحافتحافتح
اليومافتحافتحافتحافتح

Nessus ID: 89842
Nessus الأسم: Amazon Linux AMI : openssl (ALAS-2016-661) (DROWN) (SLOTH)
Nessus ملف: 🔍
Nessus خطر: 🔍
Nessus عائلة: 🔍
Nessus Context: 🔍

OpenVAS ID: 12024
OpenVAS الأسم: Mageia Linux Local Check: mgasa-2016-0093
OpenVAS ملف: 🔍
OpenVAS عائلة: 🔍

Qualys ID: 🔍
Qualys الأسم: 🔍

استخبارات التهديدالمعلومات

الاهتمام: 🔍
الفاعلين النشيطين: 🔍
مجوعات الـAPT الفعالة: 🔍

إجراءات مضادةالمعلومات

المقترح: باتش
الحالة: 🔍

زمن الاستجابة: 🔍
زمن الهجوم الفوري: 🔍
زمن التعرض: 🔍

باتش: 578b956fe741bf8e84055547b1e83c28dd902c73

التسلسل زمنيالمعلومات

16/12/2015 🔍
27/02/2016 +73 أيام 🔍
29/02/2016 +2 أيام 🔍
29/02/2016 +0 أيام 🔍
01/03/2016 +0 أيام 🔍
01/03/2016 +0 أيام 🔍
03/03/2016 +1 أيام 🔍
05/03/2016 +2 أيام 🔍
10/03/2016 +5 أيام 🔍
08/07/2022 +2310 أيام 🔍

المصادرالمعلومات

منتج: openssl.org

استشاري: OpenSSL CVE-2016-0799: heap corruption via BIO_printf
باحث: Guido Vranken
الحالة: مؤكد
تأكيد: 🔍

CVE: CVE-2016-0799 (🔍)
GCVE (CVE): GCVE-0-2016-0799
GCVE (VulDB): GCVE-100-81112

OVAL: 🔍

X-Force: 111143 - OpenSSL BIO_*printf() information disclosure
SecurityFocus: 83755 - OpenSSL CVE-2016-0799 Remote Format String Vulnerability
SecurityTracker: 1035133
Vulnerability Center: 57006 - OpenSSL Remote Information Disclosure due to Out-of-Bounds Read in BIO_*printf - CVE-2016-0799, Low

آقرأ ايضاً: 🔍

ادخالالمعلومات

تم الانشاء: 29/02/2016 09:14
تم التحديث: 08/07/2022 16:10
التغييرات: 29/02/2016 09:14 (78), 01/09/2018 08:40 (19), 08/07/2022 16:10 (5)
كامل: 🔍
Cache ID: 216:FD7:103

مناقشة

لا توجد تعليقات اللغات: ar + en.

يرجى تسجيل الدخول حتى تتمكن من التعليق

Do you know our Splunk app?

Download it now for free!