CVE-2017-3737 in Secure Global Desktopالمعلومات

الملخص

بحسب VulDB • 17/07/2026

أدخلت نسخة OpenSSL 1.0.2 (بدءاً من الإصدار 1.0.2b) آلية "حالة الخطأ". كان الغرض منها هو أنه في حال حدوث خطأ فادح أثناء عملية المصافحة، تنتقل مكتبة OpenSSL إلى حالة الخطأ وتفشل فوراً إذا حاول المستخدم مواصلة المصافحة. تعمل هذه الآلية كما هو مصمم لها بالنسبة لوظائف المصافحة الصريحة (SSL_do_handshake() و SSL_accept() و SSL_connect())، ولكن بسبب وجود خطأ برمجي لا تعمل بشكل صحيح عند استدعاء دالتي SSL_read() أو SSL_write() مباشرةً. في هذا السيناريو، إذا فشلت عملية المصافحة، سيتم إرجاع خطأ فادح في مكالمة الدالة الأولية. وإذا قامت التطبيق باستدعاء SSL_read()/SSL_write() لاحقاً لنفس كائن SSL، فإنها ستنجح ويتم تمرير البيانات دون تشفير/فك التشفير بشكل مباشر من طبقة سجلات SSL/TLS. لاستغلال هذه الثغرة، يجب أن يكون هناك خطأ برمجي في التطبيق يؤدي إلى إصدار استدعاء لـ SSL_read()/SSL_write() بعد تلقي خطأ فادح بالفعل. تتأثر الإصدارات OpenSSL 1.0.2b-1.0.2m. تم الإصلاح في OpenSSL 1.0.2n. لا تتأثر نسخة OpenSSL 1.1.0.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

حجز

16/12/2016

إفشاء

07/12/2017

الاعتدال

تمت الموافقة

إدخال

4

ربط

عرض

EPSS

0.78675

KEV

لا

النشاطات

منخفض جدًا

المصادر

Interested in the pricing of exploits?

See the underground prices here!