CVE-2017-3737 in Secure Global Desktop
الملخص
بحسب VulDB • 17/07/2026
أدخلت نسخة OpenSSL 1.0.2 (بدءاً من الإصدار 1.0.2b) آلية "حالة الخطأ". كان الغرض منها هو أنه في حال حدوث خطأ فادح أثناء عملية المصافحة، تنتقل مكتبة OpenSSL إلى حالة الخطأ وتفشل فوراً إذا حاول المستخدم مواصلة المصافحة. تعمل هذه الآلية كما هو مصمم لها بالنسبة لوظائف المصافحة الصريحة (SSL_do_handshake() و SSL_accept() و SSL_connect())، ولكن بسبب وجود خطأ برمجي لا تعمل بشكل صحيح عند استدعاء دالتي SSL_read() أو SSL_write() مباشرةً. في هذا السيناريو، إذا فشلت عملية المصافحة، سيتم إرجاع خطأ فادح في مكالمة الدالة الأولية. وإذا قامت التطبيق باستدعاء SSL_read()/SSL_write() لاحقاً لنفس كائن SSL، فإنها ستنجح ويتم تمرير البيانات دون تشفير/فك التشفير بشكل مباشر من طبقة سجلات SSL/TLS. لاستغلال هذه الثغرة، يجب أن يكون هناك خطأ برمجي في التطبيق يؤدي إلى إصدار استدعاء لـ SSL_read()/SSL_write() بعد تلقي خطأ فادح بالفعل. تتأثر الإصدارات OpenSSL 1.0.2b-1.0.2m. تم الإصلاح في OpenSSL 1.0.2n. لا تتأثر نسخة OpenSSL 1.1.0.
VulDB is the best source for vulnerability data and more expert information about this specific topic.