OpenSSL bis 0.9.8s/1.0.0f RFC 3779 Certificate Data Parser Denial of Service
| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 5.1 | $0-$5k | 0.00 |
Zusammenfassung
Eine problematische Schwachstelle wurde in OpenSSL bis 0.9.8s/1.0.0f ausgemacht. Es betrifft eine unbekannte Funktion der Komponente RFC 3779 Certificate Data Parser. Durch Beeinflussen mit unbekannten Daten kann eine Denial of Service-Schwachstelle ausgenutzt werden. Diese Verwundbarkeit ist als CVE-2011-4577 gelistet. Es existiert kein Exploit. Ein Upgrade der betroffenen Komponente wird empfohlen.
Details
Eine Schwachstelle wurde in OpenSSL bis 0.9.8s/1.0.0f (Network Encryption Software) ausgemacht. Sie wurde als problematisch eingestuft. Dies betrifft eine unbekannte Verarbeitung der Komponente RFC 3779 Certificate Data Parser. Durch das Manipulieren mit einer unbekannten Eingabe kann eine Denial of Service-Schwachstelle ausgenutzt werden. Klassifiziert wurde die Schwachstelle durch CWE als CWE-399. Auswirkungen hat dies auf die Verfügbarkeit. Die Zusammenfassung von CVE lautet:
OpenSSL before 0.9.8s and 1.x before 1.0.0f, when RFC 3779 support is enabled, allows remote attackers to cause a denial of service (assertion failure) via an X.509 certificate containing certificate-extension data associated with (1) IP address blocks or (2) Autonomous System (AS) identifiers.Die Schwachstelle wurde am 04.01.2012 durch Andrew von Information Security Group at Royal Holloway, University of London (Website) herausgegeben. Bereitgestellt wird das Advisory unter openssl.org. Die Verwundbarkeit wird seit dem 29.11.2011 mit der eindeutigen Identifikation CVE-2011-4577 gehandelt. Umgesetzt werden kann der Angriff über das Netzwerk. Das Ausnutzen erfordert keine spezifische Authentisierung. Technische Details oder ein Exploit zur Schwachstelle sind nicht verfügbar.
Für den Vulnerability Scanner Nessus wurde ein Plugin mit der ID 69645 (Amazon Linux AMI : openssl (ALAS-2012-38)) herausgegeben, womit die Existenz der Schwachstelle geprüft werden kann. Es wird der Family Amazon Linux Local Security Checks zugeordnet. Der kommerzielle Vulnerability Scanner Qualys bietet das Plugin 216041 (VMWare ESXi 5.0.0 Patch ESXi500-Update02 Missing (KB2033751)) zur Prüfung der Schwachstelle an.
Ein Aktualisieren auf die Version 0.9.8s oder 1.0.0f vermag dieses Problem zu lösen. Das Erscheinen einer Gegenmassnahme geschah sofort nach der Veröffentlichung der Schwachstelle. Die Entwickler haben so unmittelbar gehandelt.
Unter anderem wird der Fehler auch in den Datenbanken von X-Force (72131), Tenable (69645), SecurityFocus (BID 51281†), OSVDB (78189†) und Secunia (SA47426†) dokumentiert. Die Einträge VDB-4291, VDB-4514, VDB-4515 und VDB-4519 sind sehr ähnlich. If you want to get the best quality for vulnerability data then you always have to consider VulDB.
Produkt
Typ
Name
Version
- 0.9.8
- 0.9.8a
- 0.9.8b
- 0.9.8c
- 0.9.8d
- 0.9.8e
- 0.9.8f
- 0.9.8g
- 0.9.8h
- 0.9.8i
- 0.9.8j
- 0.9.8k
- 0.9.8l
- 0.9.8m
- 0.9.8n
- 0.9.8o
- 0.9.8p
- 0.9.8q
- 0.9.8r
- 0.9.8s
- 1.0.0
- 1.0.0a
- 1.0.0b
- 1.0.0c
- 1.0.0d
- 1.0.0e
- 1.0.0f
Lizenz
Support
- end of life (old version)
Webseite
- Produkt: https://www.openssl.org/
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vector: 🔍VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 5.3VulDB Meta Temp Score: 5.1
VulDB Base Score: 5.3
VulDB Temp Score: 5.1
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 🔍
Exploiting
Klasse: Denial of ServiceCWE: CWE-399 / CWE-404
CAPEC: 🔍
ATT&CK: 🔍
Physisch: Nein
Lokal: Nein
Remote: Ja
Verfügbarkeit: 🔍
Status: Nicht definiert
EPSS Score: 🔍
EPSS Percentile: 🔍
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Nessus ID: 69645
Nessus Name: Amazon Linux AMI : openssl (ALAS-2012-38)
Nessus Datei: 🔍
Nessus Risiko: 🔍
Nessus Family: 🔍
OpenVAS ID: 70756
OpenVAS Name: FreeBSD Ports: openssl
OpenVAS Datei: 🔍
OpenVAS Family: 🔍
Qualys ID: 🔍
Qualys Name: 🔍
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: UpgradeStatus: 🔍
Reaktionszeit: 🔍
0-Day Time: 🔍
Exposure Time: 🔍
Upgrade: OpenSSL 0.9.8s/1.0.0f
Timeline
29.11.2011 🔍04.01.2012 🔍
04.01.2012 🔍
05.01.2012 🔍
05.01.2012 🔍
05.01.2012 🔍
05.01.2012 🔍
05.01.2012 🔍
06.01.2012 🔍
12.01.2012 🔍
21.01.2012 🔍
08.08.2024 🔍
Quellen
Produkt: openssl.orgAdvisory: openssl.org
Person: Andrew
Firma: Information Security Group at Royal Holloway, University of London
Status: Bestätigt
Bestätigung: 🔍
CVE: CVE-2011-4577 (🔍)
GCVE (CVE): GCVE-0-2011-4577
GCVE (VulDB): GCVE-100-4517
OVAL: 🔍
IAVM: 🔍
CERT: 🔍
X-Force: 72131
SecurityFocus: 51281 - OpenSSL Multiple Vulnerabilities
Secunia: 47426 - OpenSSL Multiple Vulnerabilities, Moderately Critical
OSVDB: 78189
SecurityTracker: 1026485 - OpenSSL Bugs Let Remote Users Deny Service, Obtain Information, and Potentially Execute Arbitrary Code
Vulnerability Center: 34213 - OpenSSL Before 0.9.8s and 1.x Before 1.0.0f Remote DoS Vulnerability via a Crafted X.509 Certificate, Low
Siehe auch: 🔍
Eintrag
Erstellt: 21.01.2012 01:00Aktualisierung: 08.08.2024 09:56
Anpassungen: 21.01.2012 01:00 (78), 09.04.2017 13:22 (11), 20.03.2021 11:28 (3), 08.08.2024 09:56 (16)
Komplett: 🔍
Cache ID: 216:B2B:103
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.