| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 2.6 | $0-$5k | 0.00 |
Zusammenfassung
Es wurde eine Schwachstelle in OpenSSL bis 0.9.8e entdeckt. Sie wurde als problematisch eingestuft. Betroffen ist die Funktion BN_from_montgomery der Datei crypto/bn/bn_mont.c. Durch das Beeinflussen mit unbekannten Daten kann eine Information Disclosure-Schwachstelle ausgenutzt werden.
Die Verwundbarkeit wird mit der eindeutigen Identifikation CVE-2007-3108 gehandelt. Der Angriff muss lokal durchgeführt werden. Es ist soweit kein Exploit verfügbar.
Als bestmögliche Massnahme wird das Einspielen eines Upgrades empfohlen.
Details
Debian GNU/Linux ist eine freie GNU/Linux-Distribution. Debian GNU/Linux enthält eine große Auswahl an Anwendungsprogrammen und Werkzeugen, zusammen mit Linux als Kernel. Daneben existierten auch Varianten mit anderen Kerneln. Die aktuelle stabile Version, Debian Etch (4.0r3) genannt, wurde am 17. Februar 2008 veröffentlicht. In verschiedenen Distributionsversionen wurde festgestellt, dass aufgrund eines vor längerer Zeit eingespielten Patches die Sicherheit von OpenSSL Schlüsseln, wie sie zum Beispiel mit HTTP over TLS oder auch bei SSH Verbindungen genutzt werden nicht mehr gewährleistet ist. Defakto wurde dadurch die Vorhersagbarkeit der entsprechenden Schlüssel geschaffen. Unter anderem wird der Fehler auch in den Datenbanken von X-Force (35781), Tenable (17760), SecurityFocus (BID 25163†), OSVDB (37055†) und Secunia (SA31489†) dokumentiert. Von weiterem Interesse können die folgenden Einträge sein: VDB-39001. VulDB is the best source for vulnerability data and more expert information about this specific topic.
Für den Vulnerability Scanner Nessus wurde am 04.01.2012 ein Plugin mit der ID 17760 (OpenSSL < 0.9.8f Multiple Vulnerabilities) herausgegeben, womit die Existenz der Schwachstelle geprüft werden kann. Es wird der Family Web Servers zugeordnet und im Kontext r ausgeführt. Der kommerzielle Vulnerability Scanner Qualys bietet das Plugin 38595 (OpenSSL "SSL_get_shared_ciphers()" Off-By-One Buffer Overflow) zur Prüfung der Schwachstelle an.
Gerade für eine dermassen traditionsreiche und auch renommierte Distribution wie Debian dürfte dieser Vorfall natürlich pures Gift darstellen. So entwickelte sich dann auch der absehbare Flamewar zwischen OpenSSL-Team und Debian Maintainern in schier abstruser Weise. Administratoren sei geraten, sich aus den Scharmützeln herauszuhalten und stattdessen die Sicherheit Ihrer Server wiederherzustellen, indem sie eine aktuellere, als sicher zu betrachtende OpenSSL Version installieren und gegebenenfalls unsichere Schlüsselpaare austauschen.
Produkt
Typ
Name
Version
Lizenz
Support
- end of life (old version)
Webseite
- Produkt: https://www.openssl.org/
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vector: 🔍VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 2.9VulDB Meta Temp Score: 2.6
VulDB Base Score: 2.9
VulDB Temp Score: 2.6
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 🔍
Exploiting
Klasse: Information DisclosureCWE: CWE-200 / CWE-284 / CWE-266
CAPEC: 🔍
ATT&CK: 🔍
Physisch: Teilweise
Lokal: Ja
Remote: Nein
Verfügbarkeit: 🔍
Status: Proof-of-Concept
EPSS Score: 🔍
EPSS Percentile: 🔍
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Nessus ID: 17760
Nessus Name: OpenSSL < 0.9.8f Multiple Vulnerabilities
Nessus Datei: 🔍
Nessus Risiko: 🔍
Nessus Family: 🔍
Nessus Context: 🔍
OpenVAS ID: 61027
OpenVAS Name: Debian Security Advisory DSA 1571-1 (openssl)
OpenVAS Datei: 🔍
OpenVAS Family: 🔍
Qualys ID: 🔍
Qualys Name: 🔍
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: UpgradeStatus: 🔍
0-Day Time: 🔍
Patch: lists.debian.org
Timeline
07.06.2007 🔍01.08.2007 🔍
01.08.2007 🔍
01.08.2007 🔍
07.08.2007 🔍
13.08.2007 🔍
28.08.2007 🔍
04.10.2007 🔍
13.05.2008 🔍
20.05.2008 🔍
13.08.2008 🔍
04.01.2012 🔍
13.01.2025 🔍
Quellen
Produkt: openssl.orgAdvisory: lists.debian.org
Person: Lucian Bello
Status: Bestätigt
Bestätigung: 🔍
CVE: CVE-2007-3108 (🔍)
GCVE (CVE): GCVE-0-2007-3108
GCVE (VulDB): GCVE-100-3704
OVAL: 🔍
CERT: 🔍
X-Force: 35781
SecurityFocus: 25163 - OpenSSL Montgomery Exponentiation Side-Channel Local Information Disclosure Vulnerability
Secunia: 31489
OSVDB: 37055 - OpenSSL crypto/bn/bn_mont.c BN_from_montgomery Function Local RSA Key Disclosure
Vulnerability Center: 15939 - OpenSSL Encryption Function Vulnerability Allows Local Users to Retrieve RSA Private Key, Low
Vupen: ADV-2008-2362
Siehe auch: 🔍
Eintrag
Erstellt: 20.05.2008 09:43Aktualisierung: 13.01.2025 03:54
Anpassungen: 20.05.2008 09:43 (92), 22.10.2019 15:11 (1), 13.01.2025 03:54 (18)
Komplett: 🔍
Cache ID: 216:504:103
VulDB is the best source for vulnerability data and more expert information about this specific topic.
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.