OpenSSL حتى 1.0.2x/1.1.1i length تجاوز الصلاحيات

CVSS الدرجة المؤقتة للميتاسعر الإكسبلويت الحالي (≈)درجة اهتمام CTI
6.3$0-$5k0.00

الملخصالمعلومات

ثغرة أمنية مصنفة على أنها خطيرة تم أيجادها في OpenSSL حتى 1.0.2x/1.1.1i. المشكلة أثرت على الدالة EVP_CipherUpdate/EVP_EncryptUpdate/EVP_DecryptUpdate. ينتج عن التلاعب بالمعامل length حدوث تجاوز الصلاحيات. تم تسمية الثغرة بأسمCVE-2021-23840. من الممكن تنفيذ الهجوم عن بُعد. لا يتوفر أي استغلال. من المستحسن ترقية المكون المتضرر.

التفاصيلالمعلومات

ثغرة أمنية مصنفة على أنها خطيرة تم أيجادها في OpenSSL حتى 1.0.2x/1.1.1i. المشكلة أثرت على الدالة EVP_CipherUpdate/EVP_EncryptUpdate/EVP_DecryptUpdate. ينتج عن التلاعب بالمعامل length حدوث تجاوز الصلاحيات. عبر استخدام CWE في وصف المشكلة، سيتم الإشارة إلى CWE-252. تم نشر الضعف 16/02/2021. يمكن تحميل الاستشارة من هنا openssl.org.

تم تسمية الثغرة بأسمCVE-2021-23840. من الممكن تنفيذ الهجوم عن بُعد. تتوفر معلومات تقنية. معدل انتشار هذه الثغرة أقل من المعدل العام. لا يتوفر أي استغلال.

إذا كان هناك قيمة لـ غير معرفة، فسيتم التصريح بأنه غير معرفة. باعتباره ثغرة يوم الصفر، كان السعر التقديري في السوق السوداء حوالي $25k-$100k. يحتوي برنامج Nessus لفحص الثغرات على ملحق بالمعرف 211827.

الترقية إلى الإصدار 1.0.2y , 1.1.1j قادرة على حل هذه المشكلة. يمكن تحميل تصحيح المشكلة من هنا git.openssl.org. من المستحسن ترقية المكون المتضرر.

إذا كانت قائمة قواعد بيانات المصدر تحتوي على عناصر، فإن الثغرة موثقة أيضًا في قواعد بيانات ثغرات أخرى: Tenable (211827).

متأثر

  • Open Source CentOS
  • Open Source OpenSSL
  • Debian Linux
  • Amazon Linux 2
  • FreeBSD Project FreeBSD OS
  • Juniper JUNOS
  • Red Hat Enterprise Linux
  • Ubuntu Linux
  • SUSE Linux
  • Oracle Linux
  • Hitachi Command Suite
  • Gentoo Linux
  • Open Source Arch Linux
  • Avaya Aura Communication Manager
  • Avaya Aura Session Manager
  • Avaya Aura Application Enablement Services
  • Avaya Aura System Manager
  • Avaya Web License Manager
  • Pulse Secure Pulse Connect Secure
  • HCL BigFix
  • Hitachi Ops Center
  • Open Source Node.js
  • Meinberg LANTIME
  • Tenable Security Nessus
  • Netscout Arbor AED
  • Netscout Arbor APS
  • Netscout Arbor Sightline
  • Netscout Arbor TMS
  • Tenable Security Nessus Network Monitor
  • HPE Fabric OS
  • Hitachi Configuration Manager
  • F5 BIG-IP
  • Trellix ePolicy Orchestrator
  • IBM Rational Build Forge
  • Dell NetWorker
  • SolarWinds Platform
  • F5 F5OS

منتجالمعلومات

النوع

الأسم

النسخة

الرخصة

موقع إلكتروني

CPE 2.3المعلومات

CPE 2.2المعلومات

CVSSv4المعلومات

VulDB متجه: 🔍
VulDB الاعتمادية: 🔍

CVSSv3المعلومات

VulDB الدرجة الأساسية للميتا: 6.4
VulDB الدرجة المؤقتة للميتا: 6.3

VulDB الدرجة الأساسية: 5.3
VulDB الدرجة المؤقتة: 5.1
VulDB متجه: 🔍
VulDB الاعتمادية: 🔍

NVD الدرجة الأساسية: 7.5
NVD متجه: 🔍

CVSSv2المعلومات

AVACAuCIA
💳💳💳💳💳💳
💳💳💳💳💳💳
💳💳💳💳💳💳
متجهالتعقيدتوثيقالسريةالأمانةالتوفر
افتحافتحافتحافتحافتحافتح
افتحافتحافتحافتحافتحافتح
افتحافتحافتحافتحافتحافتح

VulDB الدرجة الأساسية: 🔍
VulDB الدرجة المؤقتة: 🔍
VulDB الاعتمادية: 🔍

NVD الدرجة الأساسية: 🔍

استغلالالمعلومات

الفئة: تجاوز الصلاحيات
CWE: CWE-252 / CWE-253
CAPEC: 🔍
ATT&CK: 🔍

ملموس: لا
محلي: لا
عن بُعد: نعم

التوفر: 🔍
الحالة: غير معرفة

EPSS Score: 🔍
EPSS Percentile: 🔍

تقدير السعر: 🔍
تقدير السعر الحالي: 🔍

0-Dayافتحافتحافتحافتح
اليومافتحافتحافتحافتح

Nessus ID: 211827
Nessus الأسم: Oracle Linux 9 : edk2 (ELSA-2024-12842)

استخبارات التهديدالمعلومات

الاهتمام: 🔍
الفاعلون النشطون: 🔍
مجموعات APT النشطة: 🔍

إجراءات مضادةالمعلومات

التوصية: ترقية
الحالة: 🔍

زمن الهجوم الفوري: 🔍

ترقية: OpenSSL 1.0.2y/1.1.1j
تصحيح: git.openssl.org

الجدول الزمنيالمعلومات

12/01/2021 🔍
16/02/2021 +35 أيام 🔍
16/02/2021 +0 أيام 🔍
06/02/2026 +1816 أيام 🔍

المصادرالمعلومات

منتج: openssl.org

استشارة: openssl.org
الحالة: مؤكد
تأكيد: 🔍

CVE: CVE-2021-23840 (🔍)
GCVE (CVE): GCVE-0-2021-23840
GCVE (VulDB): GCVE-100-170001
CERT Bund: WID-SEC-2022-0669 - OpenSSL: Mehrere Schwachstellen

إدخالالمعلومات

تم الإنشاء: 16/02/2021 10:41 PM
تم التحديث: 06/02/2026 11:31 AM
التغييرات: 16/02/2021 10:41 PM (41), 02/03/2021 08:44 AM (6), 02/03/2021 08:48 AM (18), 22/06/2024 10:47 AM (17), 26/11/2024 09:59 AM (2), 06/02/2026 11:31 AM (7)
كامل: 🔍
Cache ID: 216::103

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

مناقشة

لا توجد تعليقات بعد اللغات: ar + fa + en.

يرجى تسجيل الدخول حتى تتمكن من التعليق

التالي نظرة عامة السابق

Want to stay up to date on a daily basis?

Enable the mail alert feature now!