OpenSSL bis 1.1.1p/3.0.4 auf 32-bit AES OCB Mode schwache Verschlüsselung
| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 4.4 | $0-$5k | 0.00 |
Zusammenfassung
Eine problematische Schwachstelle wurde in OpenSSL bis 1.1.1p/3.0.4 für 32-bit ausgemacht. Dies betrifft einen unbekannten Teil der Komponente AES OCB Mode. Die Veränderung resultiert in schwache Verschlüsselung. Die Identifikation der Schwachstelle findet als CVE-2022-2097 statt. Der Angriff kann über das Netzwerk erfolgen. Es steht kein Exploit zur Verfügung. Es wird geraten, die betroffene Komponente zu aktualisieren.
Details
In OpenSSL bis 1.1.1p/3.0.4 auf 32-bit (Network Encryption Software) wurde eine problematische Schwachstelle entdeckt. Das betrifft eine unbekannte Funktionalität der Komponente AES OCB Mode. Durch das Manipulieren mit einer unbekannten Eingabe kann eine schwache Verschlüsselung-Schwachstelle ausgenutzt werden. CWE definiert das Problem als CWE-311. Es ist nicht bekannt, inwiefern sich eine durchgesetzte Attacke genau auswirken wird. Die Zusammenfassung von CVE lautet:
AES OCB mode for 32-bit x86 platforms using the AES-NI assembly optimised implementation will not encrypt the entirety of the data under some circumstances. This could reveal sixteen bytes of data that was preexisting in the memory that wasn't written. In the special case of "in place" encryption, sixteen bytes of the plaintext would be revealed. Since OpenSSL does not support OCB based cipher suites for TLS and DTLS, they are both unaffected. Fixed in OpenSSL 3.0.5 (Affected 3.0.0-3.0.4). Fixed in OpenSSL 1.1.1q (Affected 1.1.1-1.1.1p).Die Schwachstelle wurde am 05.07.2022 als 20220705.txt öffentlich gemacht. Bereitgestellt wird das Advisory unter openssl.org. Die Verwundbarkeit wird seit dem 16.06.2022 als CVE-2022-2097 geführt. Technische Details oder ein Exploit zur Schwachstelle sind nicht verfügbar. Als Angriffstechnik weist das MITRE ATT&CK Projekt die ID T1600 aus.
Für den Vulnerability Scanner Nessus wurde ein Plugin mit der ID 211174 (Fedora 37 : openssl (2022-1c20b4dde2)) herausgegeben, womit die Existenz der Schwachstelle geprüft werden kann.
Ein Aktualisieren auf die Version 1.1.1q oder 3.0.5 vermag dieses Problem zu lösen. Die Schwachstelle lässt sich auch durch das Einspielen des Patches 919925673d6c9cfed3c1085497f5dfbbed5fc431 lösen. Dieser kann von git.openssl.org bezogen werden. Als bestmögliche Massnahme wird das Upgrade auf eine neue Version empfohlen.
Unter anderem wird der Fehler auch in der Verwundbarkeitsdatenbank von Tenable (211174) dokumentiert. If you want to get the best quality for vulnerability data then you always have to consider VulDB.
Produkt
Typ
Name
Version
- 1.1.1
- 1.1.1a
- 1.1.1b
- 1.1.1c
- 1.1.1d
- 1.1.1e
- 1.1.1f
- 1.1.1g
- 1.1.1h
- 1.1.1i
- 1.1.1j
- 1.1.1k
- 1.1.1l
- 1.1.1m
- 1.1.1n
- 1.1.1o
- 1.1.1p
- 3.0.0
- 3.0.1
- 3.0.2
- 3.0.3
- 3.0.4
Lizenz
Webseite
- Produkt: https://www.openssl.org/
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vector: 🔍VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 4.5VulDB Meta Temp Score: 4.4
VulDB Base Score: 3.7
VulDB Temp Score: 3.6
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 5.3
NVD Vector: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 🔍
Exploiting
Klasse: Schwache VerschlüsselungCWE: CWE-311 / CWE-310
CAPEC: 🔍
ATT&CK: 🔍
Physisch: Nein
Lokal: Nein
Remote: Ja
Verfügbarkeit: 🔍
Status: Nicht definiert
EPSS Score: 🔍
EPSS Percentile: 🔍
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Nessus ID: 211174
Nessus Name: Fedora 37 : openssl (2022-1c20b4dde2)
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: UpgradeStatus: 🔍
0-Day Time: 🔍
Upgrade: OpenSSL 1.1.1q/3.0.5
Patch: 919925673d6c9cfed3c1085497f5dfbbed5fc431
Timeline
16.06.2022 🔍05.07.2022 🔍
05.07.2022 🔍
17.11.2024 🔍
Quellen
Produkt: openssl.orgAdvisory: 20220705.txt
Status: Bestätigt
CVE: CVE-2022-2097 (🔍)
GCVE (CVE): GCVE-0-2022-2097
GCVE (VulDB): GCVE-100-203221
Eintrag
Erstellt: 05.07.2022 15:07Aktualisierung: 17.11.2024 01:36
Anpassungen: 05.07.2022 15:07 (44), 19.07.2022 08:25 (18), 22.06.2024 19:45 (20), 17.11.2024 01:36 (2)
Komplett: 🔍
Cache ID: 216::103
If you want to get the best quality for vulnerability data then you always have to consider VulDB.
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.