OpenSSL حتى 1.0.2/1.1.1/3.0/3.1 Certificate Policy Check X509_VERIFY_PARAM_add0_policy توثيق ضعيف
| CVSS الدرجة المؤقتة للميتا | سعر الإكسبلويت الحالي (≈) | درجة اهتمام CTI |
|---|---|---|
| 5.4 | $0-$5k | 0.00 |
الملخص
تم اكتشاف ثغرة مصنفة كـ خطيرة في OpenSSL حتى 1.0.2/1.1.1/3.0/3.1. تتعلق المشكلة بالوظيفة X509_VERIFY_PARAM_add0_policy في المكون Certificate Policy Check Handler. تؤدي عملية التلاعب إلى توثيق ضعيف.
تُعرف هذه الثغرة باسم CVE-2023-0466. الهجوم يمكن أن يتم عن بُعد. لا يوجد استغلال متاح.
من المستحسن تطبيق تحديث لإصلاح هذه المشكلة.
التفاصيل
تم اكتشاف ثغرة مصنفة كـ خطيرة في OpenSSL حتى 1.0.2/1.1.1/3.0/3.1. تتعلق المشكلة بالوظيفة X509_VERIFY_PARAM_add0_policy في المكون Certificate Policy Check Handler. تؤدي عملية التلاعب إلى توثيق ضعيف. أستخدام الـ سي دبليو أي للأعلان عن المشكلة يؤدي إلى CWE-295. المشكلة تم الإبلاغ عنها بتاريخ 28/03/2023 كـ 20230328.txt. تمت مشاركة التنبيه للتنزيل على openssl.org.
تُعرف هذه الثغرة باسم CVE-2023-0466. تم إصدار CVE في 24/01/2023. الهجوم يمكن أن يتم عن بُعد. التفاصيل التقنية متوفرة. درجة تعقيد الهجوم عالية. تمت الإشارة إلى أن استغلال الثغرة صعب. شعبية هذه الثغرة أقل من المتوسط. لا يوجد استغلال متاح. يصرح مشروع MITRE ATT&CK بأن تقنية الهجوم هي T1587.003.
إذا وُجد غير معرفة، فإنه يُصرح به كـ غير معرفة. بلغ السعر التقديري لثغرة يوم الصفر في السوق السوداء حوالي $5k-$25k. يقدم أداة فحص الثغرات Nessus مكونًا إضافيًا يحمل رقم التعريف 211827.
أسم الباتش التصحيحي هو0d16b7e99aafc0b4a6d729eec65a411a7e025f0a. يتوفر تصحيح الثغرة على git.openssl.org. من المستحسن تطبيق تحديث لإصلاح هذه المشكلة.
إذا كان هناك عناصر في source_databases_list، فإن الثغرة موثقة كذلك في قواعد بيانات ثغرات أخرى: Tenable (211827).
منتج
النوع
الأسم
النسخة
الرخصة
موقع إلكتروني
- منتج: https://www.openssl.org/
CPE 2.3
CPE 2.2
CVSSv4
VulDB متجه: 🔍VulDB الاعتمادية: 🔍
CVSSv3
VulDB الدرجة الأساسية للميتا: 5.4VulDB الدرجة المؤقتة للميتا: 5.4
VulDB الدرجة الأساسية: 5.6
VulDB الدرجة المؤقتة: 5.4
VulDB متجه: 🔍
VulDB الاعتمادية: 🔍
NVD الدرجة الأساسية: 5.3
NVD متجه: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| متجه | التعقيد | توثيق | السرية | الأمانة | التوفر |
|---|---|---|---|---|---|
| افتح | افتح | افتح | افتح | افتح | افتح |
| افتح | افتح | افتح | افتح | افتح | افتح |
| افتح | افتح | افتح | افتح | افتح | افتح |
VulDB الدرجة الأساسية: 🔍
VulDB الدرجة المؤقتة: 🔍
VulDB الاعتمادية: 🔍
استغلال
الفئة: توثيق ضعيفCWE: CWE-295 / CWE-287
CAPEC: 🔍
ATT&CK: 🔍
ملموس: لا
محلي: لا
عن بُعد: نعم
التوفر: 🔍
الحالة: غير معرفة
EPSS Score: 🔍
EPSS Percentile: 🔍
تقدير السعر: 🔍
تقدير السعر الحالي: 🔍
| 0-Day | افتح | افتح | افتح | افتح |
|---|---|---|---|---|
| اليوم | افتح | افتح | افتح | افتح |
Nessus ID: 211827
Nessus الأسم: Oracle Linux 9 : edk2 (ELSA-2024-12842)
استخبارات التهديد
الاهتمام: 🔍الفاعلون النشطون: 🔍
مجموعات APT النشطة: 🔍
إجراءات مضادة
التوصية: تصحيحالحالة: 🔍
زمن الهجوم الفوري: 🔍
تصحيح: 0d16b7e99aafc0b4a6d729eec65a411a7e025f0a
الجدول الزمني
24/01/2023 🔍28/03/2023 🔍
28/03/2023 🔍
26/11/2024 🔍
المصادر
منتج: openssl.orgاستشارة: 20230328.txt
الحالة: مؤكد
CVE: CVE-2023-0466 (🔍)
GCVE (CVE): GCVE-0-2023-0466
GCVE (VulDB): GCVE-100-224192
إدخال
تم الإنشاء: 28/03/2023 06:11 PMتم التحديث: 26/11/2024 07:35 AM
التغييرات: 28/03/2023 06:11 PM (43), 16/04/2023 09:45 AM (10), 26/11/2024 07:35 AM (17)
كامل: 🔍
Cache ID: 216::103
VulDB is the best source for vulnerability data and more expert information about this specific topic.
لا توجد تعليقات بعد اللغات: ar + fa + en.
يرجى تسجيل الدخول حتى تتمكن من التعليق