| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 7.2 | $0-$5k | 0.00 |
Es wurde eine Schwachstelle in OpenSSL 1.0.1/1.0.2 (Network Encryption Software) entdeckt. Sie wurde als kritisch eingestuft. Betroffen hiervon ist ein unbekannter Ablauf der Komponente DES/3DES. Mittels dem Manipulieren mit einer unbekannten Eingabe kann eine schwache Verschlüsselung-Schwachstelle (SWEET32) ausgenutzt werden. Im Rahmen von CWE wurde eine Klassifizierung als CWE-311 vorgenommen. Die Auswirkungen sind bekannt für Vertraulichkeit, Integrität und Verfügbarkeit.
Die Schwachstelle wurde am 22.09.2016 durch Karthik Bhargavan als 20160922.txt in Form eines bestätigten Advisories (Website) publiziert. Das Advisory findet sich auf openssl.org. Die Identifikation der Schwachstelle wird seit dem 29.01.2016 mit CVE-2016-2183 vorgenommen. Der Angriff kann über das Netzwerk erfolgen. Zur Ausnutzung ist keine spezifische Authentisierung erforderlich. Technische Details sind nicht bekannt und ein Exploit zur Schwachstelle ist ebenfalls nicht vorhanden. Diese Schwachstelle wird durch das MITRE ATT&CK als Angriffstechnik T1600 bezeichnet.
Ein Aktualisieren auf die Version 1.0.1u oder 1.0.2i vermag dieses Problem zu lösen. Das Erscheinen einer Gegenmassnahme geschah direkt nach der Veröffentlichung der Schwachstelle. Die Entwickler haben nachweislich sofort gehandelt.
Von weiterem Interesse können die folgenden Einträge sein: 87879, 88080, 90937 und 90939.
Produkt
Typ
Name
Version
Lizenz
Support
- end of life (old version)
CPE 2.3
CPE 2.2
CVSSv4
VulDB CVSS-B Score: 🔍VulDB CVSS-BT Score: 🔍
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 7.4VulDB Meta Temp Score: 7.2
VulDB Base Score: 7.3
VulDB Temp Score: 7.0
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 7.5
NVD Vector: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 🔍
Exploiting
Name: SWEET32Klasse: Schwache Verschlüsselung / SWEET32
CWE: CWE-311 / CWE-310
CAPEC: 🔍
ATT&CK: 🔍
Lokal: Nein
Remote: Ja
Verfügbarkeit: 🔍
Status: Proof-of-Concept
Download: 🔍
EPSS Score: 🔍
EPSS Percentile: 🔍
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Exploit-DB: 🔍
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: UpgradeStatus: 🔍
Reaktionszeit: 🔍
0-Day Time: 🔍
Exposure Time: 🔍
Upgrade: OpenSSL 1.0.1u/1.0.2i
Timeline
29.01.2016 🔍24.08.2016 🔍
22.09.2016 🔍
22.09.2016 🔍
23.09.2016 🔍
20.09.2022 🔍
Quellen
Produkt: openssl.orgAdvisory: 20160922.txt
Person: Karthik Bhargavan
Status: Bestätigt
Bestätigung: 🔍
CVE: CVE-2016-2183 (🔍)
SecurityTracker: 1036696
SecurityFocus: 92630 - SSL/TLS Protocol CVE-2016-2183 Information Disclosure Vulnerability
Siehe auch: 🔍
Eintrag
Erstellt: 23.09.2016 18:11Aktualisierung: 20.09.2022 09:45
Anpassungen: 23.09.2016 18:11 (50), 07.07.2019 16:30 (5), 20.09.2022 09:42 (3), 20.09.2022 09:45 (18)
Komplett: 🔍
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.