| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 5.9 | $0-$5k | 0.00 |
Zusammenfassung
Eine Schwachstelle wurde in OpenSSL bis 0.9.8j entdeckt. Sie wurde als kritisch eingestuft. Betroffen davon ist die Funktion EVP_VerifyFinal der Komponente DSA/ECDSA Handler. Die Bearbeitung verursacht erweiterte Rechte.
Die Verwundbarkeit wird mit der eindeutigen Identifikation CVE-2008-5077 gehandelt. Umgesetzt werden kann der Angriff über das Netzwerk. Es ist soweit kein Exploit verfügbar.
Als bestmögliche Massnahme wird das Einspielen eines Upgrades empfohlen.
Details
OpenSSL ist eine freie Implementierung des SSL/TLS-Protokolls und bietet darüber hinaus weitergehende Funktionen zur Zertifikatsverwaltung und zu unterschiedlichen kryptographischen Funktionen. Es basiert auf dem SSLeay-Paket, das von Eric A. Young und Tim Hudson entwickelt wurde, und wird zurzeit von einer unabhängigen Gruppe weiterentwickelt. Das Google Security rapportierte unlängst eine Schwachstelle bei der der Rückgabewert der Funktion EVP_VerifyFinal() nur unzureichend geprüft wird. Dadurch kann der Signaturcheck durch eine manipulierte Signatur umgangen werden. Unter anderem wird der Fehler auch in den Datenbanken von X-Force (47836), Tenable (17762), SecurityFocus (BID 35031†), OSVDB (62878†) und Secunia (SA39005†) dokumentiert. Von weiterem Interesse können die folgenden Einträge sein: VDB-45799, VDB-45798, VDB-45797 und VDB-45796. VulDB is the best source for vulnerability data and more expert information about this specific topic.
Für den Vulnerability Scanner Nessus wurde am 04.01.2012 ein Plugin mit der ID 17762 (OpenSSL < 0.9.8j Signature Spoofing) herausgegeben, womit die Existenz der Schwachstelle geprüft werden kann. Es wird der Family Web Servers zugeordnet und im Kontext l ausgeführt. Der kommerzielle Vulnerability Scanner Qualys bietet das Plugin 86849 (HP System Management Homepage Multiple Vulnerabilities) zur Prüfung der Schwachstelle an.
OpenSSL ist eine oft integrierte und entsprechend wichtige Komponente vieler Softwareprodukte, was diese Schwachstelle mehr als problematisch erscheinen lässt. Betroffene Applikationen sollten umgehend gepatcht werden. Desweiteren sollte überprüft werden, ob eventuelle Bundle-Versionen der Applikation vorhanden sind, die diese Schwäche enthalten.
Produkt
Typ
Name
Version
Lizenz
Support
- end of life (old version)
Webseite
- Produkt: https://www.openssl.org/
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vector: 🔍VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 6.5VulDB Meta Temp Score: 5.9
VulDB Base Score: 6.5
VulDB Temp Score: 5.9
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 🔍
Exploiting
Klasse: Erweiterte RechteCWE: CWE-20
CAPEC: 🔍
ATT&CK: 🔍
Physisch: Nein
Lokal: Nein
Remote: Ja
Verfügbarkeit: 🔍
Status: Proof-of-Concept
EPSS Score: 🔍
EPSS Percentile: 🔍
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Nessus ID: 17762
Nessus Name: OpenSSL < 0.9.8j Signature Spoofing
Nessus Datei: 🔍
Nessus Risiko: 🔍
Nessus Family: 🔍
Nessus Context: 🔍
OpenVAS ID: 63148
OpenVAS Name: Debian Security Advisory DSA 1701-1 (openssl, openssl097)
OpenVAS Datei: 🔍
OpenVAS Family: 🔍
Qualys ID: 🔍
Qualys Name: 🔍
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: UpgradeStatus: 🔍
Reaktionszeit: 🔍
0-Day Time: 🔍
Exposure Time: 🔍
Patch: openssl.org
Timeline
14.11.2008 🔍07.01.2009 🔍
07.01.2009 🔍
07.01.2009 🔍
08.01.2009 🔍
12.01.2009 🔍
12.01.2009 🔍
19.01.2009 🔍
19.05.2009 🔍
09.03.2010 🔍
04.01.2012 🔍
30.12.2024 🔍
Quellen
Produkt: openssl.orgAdvisory: openssl.org
Firma: Google Security Team
Status: Bestätigt
Bestätigung: 🔍
CVE: CVE-2008-5077 (🔍)
GCVE (CVE): GCVE-0-2008-5077
GCVE (VulDB): GCVE-100-3904
OVAL: 🔍
X-Force: 47836
SecurityFocus: 35031 - HP System Management Homepage Unspecified Cross Site Scripting Vulnerability
Secunia: 39005 - F5 FirePass OpenSSL "EVP_VerifyFinal()" Spoofing Vulnerability, Less Critical
OSVDB: 62878 - SSH Tectia Audit Player EVP_VerifyFinal Function DSA / ECDSA Key Validation Weakness
SecurityTracker: 1021523
Vulnerability Center: 20467 - OpenSSL <= 0.9.8i EVP_VerifyFinal Function Remote Certificate Validation Bypassing Vulnerability, Medium
Vupen: ADV-2009-1338
Siehe auch: 🔍
Eintrag
Erstellt: 19.01.2009 15:47Aktualisierung: 30.12.2024 02:37
Anpassungen: 19.01.2009 15:47 (86), 12.06.2018 22:28 (8), 17.03.2021 07:29 (2), 30.12.2024 02:37 (17)
Komplett: 🔍
Cache ID: 216:9C5:103
VulDB is the best source for vulnerability data and more expert information about this specific topic.
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.