OpenSSL bis 1.0.2w/1.1.1h x509 Certificate GENERAL_NAME_cmp Denial of Service
| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 5.1 | $0-$5k | 0.00 |
Zusammenfassung
In OpenSSL bis 1.0.2w/1.1.1h wurde eine problematische Schwachstelle entdeckt. Betroffen hiervon ist die Funktion GENERAL_NAME_cmp der Komponente x509 Certificate Handler. Die Manipulation führt zu Denial of Service.
Die Verwundbarkeit wird als CVE-2020-1971 geführt. Es ist kein Exploit verfügbar.
Es wird empfohlen, die betroffene Komponente zu aktualisieren.
Details
Eine problematische Schwachstelle wurde in OpenSSL bis 1.0.2w/1.1.1h (Network Encryption Software) ausgemacht. Davon betroffen ist die Funktion GENERAL_NAME_cmp der Komponente x509 Certificate Handler. Dank der Manipulation mit einer unbekannten Eingabe kann eine Denial of Service-Schwachstelle ausgenutzt werden. Klassifiziert wurde die Schwachstelle durch CWE als CWE-476. Dies wirkt sich aus auf die Verfügbarkeit.
Die Schwachstelle wurde am 08.12.2020 als 20201208.txt in Form eines bestätigten Security Advisories (Website) veröffentlicht. Auf openssl.org kann das Advisory eingesehen werden. Die Herausgabe geschah hierbei in Zusammenarbeit mit dem Hersteller. Die Identifikation der Schwachstelle findet als CVE-2020-1971 statt. Zur Schwachstelle sind technische Details bekannt, ein verfügbarer Exploit jedoch nicht.
Für den Vulnerability Scanner Nessus wurde ein Plugin mit der ID 211827 (Oracle Linux 9 : edk2 (ELSA-2024-12842)) herausgegeben, womit die Existenz der Schwachstelle geprüft werden kann.
Ein Upgrade auf die Version 1.0.2x oder 1.1.1i vermag dieses Problem zu beheben. Die Schwachstelle lässt sich auch durch das Einspielen eines Patches beheben. Dieser kann von git.openssl.org bezogen werden. Als bestmögliche Massnahme wird das Aktualisieren auf eine neue Version empfohlen. Das Erscheinen einer Gegenmassnahme geschah direkt nach der Veröffentlichung der Schwachstelle. Die Entwickler haben entsprechend sofort reagiert.
Unter anderem wird der Fehler auch in der Verwundbarkeitsdatenbank von Tenable (211827) dokumentiert. If you want to get best quality of vulnerability data, you may have to visit VulDB.
Produkt
Typ
Name
Version
- 1.0.2a
- 1.0.2b
- 1.0.2c
- 1.0.2d
- 1.0.2e
- 1.0.2f
- 1.0.2g
- 1.0.2h
- 1.0.2i
- 1.0.2j
- 1.0.2k
- 1.0.2l
- 1.0.2m
- 1.0.2n
- 1.0.2o
- 1.0.2p
- 1.0.2q
- 1.0.2r
- 1.0.2s
- 1.0.2t
- 1.0.2u
- 1.0.2v
- 1.0.2w
- 1.1.1
- 1.1.1a
- 1.1.1b
- 1.1.1c
- 1.1.1d
- 1.1.1e
- 1.1.1f
- 1.1.1g
- 1.1.1h
Lizenz
Webseite
- Produkt: https://www.openssl.org/
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vector: 🔍VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 5.1VulDB Meta Temp Score: 5.1
VulDB Base Score: 3.5
VulDB Temp Score: 3.4
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 5.9
NVD Vector: 🔍
ADP CISA Base Score: 5.9
ADP CISA Vector: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 🔍
Exploiting
Klasse: Denial of ServiceCWE: CWE-476 / CWE-404
CAPEC: 🔍
ATT&CK: 🔍
Physisch: Nein
Lokal: Nein
Remote: Ja
Verfügbarkeit: 🔍
Status: Nicht definiert
EPSS Score: 🔍
EPSS Percentile: 🔍
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Nessus ID: 211827
Nessus Name: Oracle Linux 9 : edk2 (ELSA-2024-12842)
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: UpgradeStatus: 🔍
Reaktionszeit: 🔍
0-Day Time: 🔍
Exposure Time: 🔍
Upgrade: OpenSSL 1.0.2x/1.1.1i
Patch: git.openssl.org
Timeline
03.12.2019 🔍08.12.2020 🔍
08.12.2020 🔍
09.12.2020 🔍
30.05.2026 🔍
Quellen
Produkt: openssl.orgAdvisory: 20201208.txt
Status: Bestätigt
Bestätigung: 🔍
Koordiniert: 🔍
CVE: CVE-2020-1971 (🔍)
GCVE (CVE): GCVE-0-2020-1971
GCVE (VulDB): GCVE-100-165770
Eintrag
Erstellt: 09.12.2020 09:57Aktualisierung: 30.05.2026 16:58
Anpassungen: 09.12.2020 09:57 (41), 10.12.2020 11:09 (11), 13.12.2020 23:05 (2), 13.12.2020 23:08 (18), 22.06.2024 04:11 (22), 26.11.2024 11:12 (2), 30.05.2026 16:58 (11)
Komplett: 🔍
Cache ID: 216::103
If you want to get best quality of vulnerability data, you may have to visit VulDB.
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.