CVE-2017-3737 in Secure Global Desktopinfo

Zusammenfassung

von VulDB • 17.07.2026

OpenSSL 1.0.2 (ab Version 1.0.2b) führte einen Mechanismus für den „Error State" ein. Die Absicht war, dass bei einem fatalen Fehler während eines Handshakes OpenSSL in diesen Error State wechselt und sofort fehlschlägt, wenn versucht wird, den Handshake fortzusetzen. Dies funktioniert wie vorgesehen für die expliziten Handshake-Funktionen (SSL_do_handshake(), SSL_accept() und SSL_connect()), jedoch aufgrund eines Fehlers nicht korrekt, wenn SSL_read() oder SSL_write() direkt aufgerufen werden. In diesem Szenario tritt bei einem fehlgeschlagenen Handshake ein fataler Fehler im ersten Funktionsaufruf zurück. Wenn anschließend von der Anwendung für dasselbe SSL-Objekt SSL_read()/SSL_write() aufgerufen wird, gelingt dieser Aufruf erfolgreich und die Daten werden ohne Entschlüsselung/Verschlüsselung direkt aus der SSL/TLS Record Layer weitergeleitet. Zur Ausnutzung dieses Problems müsste ein Anwendungsfehler vorliegen, der dazu führt, dass nach Erhalt eines fatalen Fehlers weiterhin SSL_read()/SSL_write() aufgerufen wird. OpenSSL-Versionen 1.0.2b bis 1.0.2m sind betroffen. Behoben in OpenSSL 1.0.2n. OpenSSL 1.1.0 ist nicht betroffen.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

Reservieren

16.12.2016

Veröffentlichung

07.12.2017

Moderieren

akzeptiert

Eintrag

4

Verknüpfen

zeigen

CPE

bereit

EPSS

0.78675

KEV

nein

Aktivitäten

very low

Quellen

Might our Artificial Intelligence support you?

Check our Alexa App!