OpenSSL حتى 0.9.8/1.0.0q/1.0.1l/1.0.2 SSLv2 s2_srvr.c get_client_master_key CLIENT-MASTER-KEY CLEAR-KEY-LENGTH الكشف عن المعلومات
| CVSS الدرجة المؤقتة للميتا | سعر الإكسبلويت الحالي (≈) | درجة اهتمام CTI |
|---|---|---|
| 5.5 | $0-$5k | 0.00 |
الملخص
تم التعرف على ثغرة أمنية في OpenSSL حتى 0.9.8/1.0.0q/1.0.1l/1.0.2. وقد تم تصنيفها على أنها خطيرة. الثغرة الأمنية أثرت على الدالة get_client_master_key من الملف s2_srvr.c من العنصر SSLv2 Handler. ينتج عن التلاعب بالمعامل CLIENT-MASTER-KEY CLEAR-KEY-LENGTH حدوث الكشف عن المعلومات.
الثغرة الأمنية هذه تم تسميتهاCVE-2016-0703. يمكن شن الهجمة الإلكترونية هذه عن بعد. لا يوجد أي استغلال متوفر.
يُفضل ترقية المكون المصاب.
التفاصيل
تم التعرف على ثغرة أمنية في OpenSSL حتى 0.9.8/1.0.0q/1.0.1l/1.0.2. وقد تم تصنيفها على أنها خطيرة. الثغرة الأمنية أثرت على الدالة get_client_master_key من الملف s2_srvr.c من العنصر SSLv2 Handler. ينتج عن التلاعب بالمعامل CLIENT-MASTER-KEY CLEAR-KEY-LENGTH حدوث الكشف عن المعلومات. تعريف الـ سي دبليو أي للثغرة الأمنية هو CWE-200. تم إصدار التحذير حول الضعف 02/03/2016 عن طريق Alex بالتعاون مع University of Michigan (موقع إلكتروني). يمكن قراءة الاستشارة من هنا git.openssl.org.
الثغرة الأمنية هذه تم تسميتهاCVE-2016-0703. تم تخصيص CVE في 16/12/2015. يمكن شن الهجمة الإلكترونية هذه عن بعد. يوجد شرح تقني متاح. مستوى تعقيد الهجوم عالي. يُقال إن الاستغلال صعب. مستوى شهرة هذه الثغرة يتجاوز المتوسط. لا يوجد أي استغلال متوفر. يعلن مشروع MITRE ATT&CK عن تقنية الهجوم كـ T1592.
كسعر لثغرة يوم الصفر، قُدّر السعر في السوق السوداء بحوالي $5k-$25k. يوفر ماسح الثغرات Nessus إضافة بالمعرف 82783. تصنيف عائلتها هوCentOS Local Security Checks. يعمل المكون الإضافي في سياق النوع l. خدمة فحص الشبكات كويلس يمكنها الكشف عن هذه الثغرة الأمنية بواسطة ملحق350021 (Amazon Linux Security Advisory for openssl098e: ALAS-2016-682).
يمكن معالجة هذه المشكلة من خلال الترقية إلى الإصدار 0.9.8zf, 1.0.0r, 1.0.1m , 1.0.2a. يُفضل ترقية المكون المصاب.
في حال وجود عناصر في source_databases_list، فإن هذه الثغرة موثقة أيضًا في قواعد بيانات ثغرات أخرى: SecurityFocus (BID 83743), X-Force (111145), Vulnerability Center (SBV-56994) , Tenable (82783).
منتج
النوع
الأسم
النسخة
- 0.9.8
- 1.0.0a
- 1.0.0b
- 1.0.0c
- 1.0.0d
- 1.0.0e
- 1.0.0f
- 1.0.0g
- 1.0.0h
- 1.0.0i
- 1.0.0j
- 1.0.0k
- 1.0.0l
- 1.0.0m
- 1.0.0n
- 1.0.0o
- 1.0.0p
- 1.0.0q
- 1.0.1a
- 1.0.1b
- 1.0.1c
- 1.0.1d
- 1.0.1e
- 1.0.1f
- 1.0.1g
- 1.0.1h
- 1.0.1i
- 1.0.1j
- 1.0.1k
- 1.0.1l
- 1.0.2
الرخصة
الدعم
- end of life (old version)
موقع إلكتروني
- منتج: https://www.openssl.org/
CPE 2.3
CPE 2.2
CVSSv4
VulDB متجه: 🔍VulDB الاعتمادية: 🔍
CVSSv3
VulDB الدرجة الأساسية للميتا: 5.9VulDB الدرجة المؤقتة للميتا: 5.6
VulDB الدرجة الأساسية: 5.9
VulDB الدرجة المؤقتة: 5.2
VulDB متجه: 🔍
VulDB الاعتمادية: 🔍
NVD الدرجة الأساسية: 5.9
NVD متجه: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| متجه | التعقيد | توثيق | السرية | الأمانة | التوفر |
|---|---|---|---|---|---|
| افتح | افتح | افتح | افتح | افتح | افتح |
| افتح | افتح | افتح | افتح | افتح | افتح |
| افتح | افتح | افتح | افتح | افتح | افتح |
VulDB الدرجة الأساسية: 🔍
VulDB الدرجة المؤقتة: 🔍
VulDB الاعتمادية: 🔍
NVD الدرجة الأساسية: 🔍
استغلال
الفئة: الكشف عن المعلوماتCWE: CWE-200 / CWE-284 / CWE-266
CAPEC: 🔍
ATT&CK: 🔍
ملموس: لا
محلي: لا
عن بُعد: نعم
التوفر: 🔍
الحالة: غير مثبت
EPSS Score: 🔍
EPSS Percentile: 🔍
تقدير السعر: 🔍
تقدير السعر الحالي: 🔍
| 0-Day | افتح | افتح | افتح | افتح |
|---|---|---|---|---|
| اليوم | افتح | افتح | افتح | افتح |
Nessus ID: 82783
Nessus الأسم: CentOS 5 : openssl (CESA-2015:0800) (FREAK)
Nessus ملف: 🔍
Nessus خطر: 🔍
Nessus عائلة: 🔍
Nessus Context: 🔍
OpenVAS ID: 14611
OpenVAS الأسم: Amazon Linux Local Check: alas-2016-682
OpenVAS ملف: 🔍
OpenVAS عائلة: 🔍
Qualys ID: 🔍
Qualys الأسم: 🔍
استخبارات التهديد
الاهتمام: 🔍الفاعلون النشطون: 🔍
مجموعات APT النشطة: 🔍
إجراءات مضادة
التوصية: ترقيةالحالة: 🔍
زمن الهجوم الفوري: 🔍
ترقية: OpenSSL 0.9.8zf/1.0.0r/1.0.1m/1.0.2a
تصحيح: ae50d8270026edf5b3c7f8aaa0c6677462b33d97
الجدول الزمني
14/04/2015 🔍15/04/2015 🔍
16/12/2015 🔍
29/02/2016 🔍
01/03/2016 🔍
02/03/2016 🔍
02/03/2016 🔍
03/03/2016 🔍
05/03/2016 🔍
08/07/2022 🔍
المصادر
منتج: openssl.orgاستشارة: RHSA-2015:0800
باحث: Alex
منظمة: University of Michigan
الحالة: مؤكد
تأكيد: 🔍
CVE: CVE-2016-0703 (🔍)
GCVE (CVE): GCVE-0-2016-0703
GCVE (VulDB): GCVE-100-81138
OVAL: 🔍
X-Force: 111145 - OpenSSL s2_srvr.c security bypass
SecurityFocus: 83743 - OpenSSL CVE-2016-0703 Information Disclosure Vulnerability
SecurityTracker: 1035133
Vulnerability Center: 56994 - OpenSSL Remote Session Key Recovery in SSLv2 - CVE-2016-0703, Medium
اقرأ أيضاً: 🔍
إدخال
تم الإنشاء: 03/03/2016 10:19 AMتم التحديث: 08/07/2022 07:19 PM
التغييرات: 03/03/2016 10:19 AM (70), 01/09/2018 08:38 AM (25), 08/07/2022 07:12 PM (6), 08/07/2022 07:19 PM (1)
كامل: 🔍
Cache ID: 216::103
If you want to get best quality of vulnerability data, you may have to visit VulDB.
لا توجد تعليقات بعد اللغات: ar + fa + en.
يرجى تسجيل الدخول حتى تتمكن من التعليق