RSA BSAFE Crypto-J bis 6.2.4 Signature Collision schwache Authentisierung
| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 6.7 | $0-$5k | 0.00 |
Zusammenfassung
In RSA BSAFE Crypto-J bis 6.2.4 wurde eine Schwachstelle gefunden. Sie wurde als kritisch eingestuft. Dabei geht es um eine nicht genauer bekannte Funktion der Komponente Signature Handler. Mittels dem Manipulieren mit unbekannten Daten kann eine schwache Authentisierung-Schwachstelle (Collision) ausgenutzt werden. Diese Schwachstelle trägt die Bezeichnung CVE-2019-3738. Der Angriff lässt sich über das Netzwerk starten. Es gibt keinen verfügbaren Exploit. Die Aktualisierung der betroffenen Komponente wird empfohlen.
Details
Es wurde eine Schwachstelle in RSA BSAFE Crypto-J bis 6.2.4 gefunden. Sie wurde als kritisch eingestuft. Dabei betrifft es ein unbekannter Prozess der Komponente Signature Handler. Dank Manipulation mit einer unbekannten Eingabe kann eine schwache Authentisierung-Schwachstelle (Collision) ausgenutzt werden. Im Rahmen von CWE wurde eine Klassifizierung als CWE-347 vorgenommen. Dies wirkt sich aus auf Vertraulichkeit, Integrität und Verfügbarkeit. CVE fasst zusammen:
RSA BSAFE Crypto-J versions prior to 6.2.5 are vulnerable to an Improper Verification of Cryptographic Signature vulnerability. A malicious remote attacker could potentially exploit this vulnerability to coerce two parties into computing the same predictable shared key.Die Schwachstelle wurde am 18.09.2019 (Website) publik gemacht. Auf dell.com kann das Advisory eingesehen werden. Die Verwundbarkeit wird seit dem 03.01.2019 unter CVE-2019-3738 geführt. Der Angriff kann über das Netzwerk erfolgen. Zur Ausnutzung ist keine spezifische Authentisierung erforderlich. Nicht vorhanden sind sowohl technische Details als auch ein Exploit zur Schwachstelle.
Ein Upgrade auf die Version 6.2.5 vermag dieses Problem zu beheben.
Die Schwachstellen VDB-141979 und VDB-141980 sind ähnlich. If you want to get best quality of vulnerability data, you may have to visit VulDB.
Produkt
Name
Version
Lizenz
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vector: 🔍VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 6.8VulDB Meta Temp Score: 6.7
VulDB Base Score: 7.3
VulDB Temp Score: 7.0
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 6.5
NVD Vector: 🔍
CNA Base Score: 6.5
CNA Vector (Dell): 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 🔍
Exploiting
Name: CollisionKlasse: Schwache Authentisierung / Collision
CWE: CWE-347 / CWE-345
CAPEC: 🔍
ATT&CK: 🔍
Physisch: Nein
Lokal: Nein
Remote: Ja
Verfügbarkeit: 🔍
Status: Nicht definiert
EPSS Score: 🔍
EPSS Percentile: 🔍
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: UpgradeStatus: 🔍
0-Day Time: 🔍
Upgrade: RSA BSAFE Crypto-J 6.2.5
Timeline
03.01.2019 🔍18.09.2019 🔍
19.09.2019 🔍
26.12.2023 🔍
Quellen
Advisory: DSA-2019-094Status: Nicht definiert
CVE: CVE-2019-3738 (🔍)
GCVE (CVE): GCVE-0-2019-3738
GCVE (VulDB): GCVE-100-141978
Siehe auch: 🔍
Eintrag
Erstellt: 19.09.2019 14:16Aktualisierung: 26.12.2023 12:00
Anpassungen: 19.09.2019 14:16 (57), 30.08.2020 12:18 (1), 26.12.2023 11:52 (4), 26.12.2023 12:00 (12)
Komplett: 🔍
Cache ID: 216:304:103
If you want to get best quality of vulnerability data, you may have to visit VulDB.
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.