OpenSSL bis 1.0.1j Certificate Fingerprint schwache Verschlüsselung

CVSS Meta Temp ScoreAktueller Exploitpreis (≈)CTI Interest Score
5.2$0-$5k0.00

Zusammenfassunginfo

In OpenSSL wurde eine Schwachstelle gefunden. Sie wurde als kritisch eingestuft. Dabei geht es um eine nicht genauer bekannte Funktion der Komponente Certificate Fingerprint Handler. Mittels dem Manipulieren mit unbekannten Daten kann eine schwache Verschlüsselung-Schwachstelle ausgenutzt werden. Die Verwundbarkeit wird als CVE-2014-8275 geführt. Der Angriff lässt sich über das Netzwerk starten. Es ist kein Exploit verfügbar. Es wird empfohlen, die betroffene Komponente zu aktualisieren.

Detailsinfo

Es wurde eine Schwachstelle in OpenSSL (Network Encryption Software) gefunden. Sie wurde als kritisch eingestuft. Es betrifft eine unbekannte Funktion der Komponente Certificate Fingerprint Handler. Dank Manipulation mit einer unbekannten Eingabe kann eine schwache Verschlüsselung-Schwachstelle ausgenutzt werden. Im Rahmen von CWE wurde eine Klassifizierung als CWE-310 vorgenommen. Das hat Auswirkungen auf die Integrität.

Die Schwachstelle wurde am 08.01.2015 durch Antti Karjalainen und Tuomo Untinen von Codenomicon CROSS Project als secadv_20150108.txt in Form eines bestätigten Advisories (Website) publik gemacht. Das Advisory kann von openssl.org heruntergeladen werden. Die Veröffentlichung geschah dabei in Koordination mit dem Hersteller. Die Verwundbarkeit wird seit dem 12.10.2014 unter CVE-2014-8275 geführt. Sie gilt als schwierig auszunutzen. Der Angriff hat dabei lokal zu erfolgen. Zur Ausnutzung ist keine spezifische Authentisierung erforderlich. Es sind weder technische Details noch ein Exploit zur Schwachstelle bekannt. Das MITRE ATT&CK Projekt deklariert die Angriffstechnik als T1600. Das Advisory weist darauf hin:

OpenSSL accepts several non-DER-variations of certificate signature algorithm and signature encodings. OpenSSL also does not enforce a match between the signature algorithm between the signed and unsigned portions of the certificate. By modifying the contents of the signature algorithm or the encoding of the signature, it is possible to change the certificate's fingerprint. This does not allow an attacker to forge certificates, and does not affect certificate verification or OpenSSL servers/clients in any other way. It also does not affect common revocation mechanisms. Only custom applications that rely on the uniqueness of the fingerprint (e.g. certificate blacklists) may be affected.

Insgesamt wurde die Schwachstelle mindestens 38 Tage als nicht öffentlicher Zero-Day gehandelt. Während dieser Zeit erzielte er wohl etwa $5k-$25k auf dem Schwarzmarkt. Für den Vulnerability Scanner Nessus wurde am 15.04.2015 ein Plugin mit der ID 82783 (CentOS 5 : openssl (CESA-2015:0800) (FREAK)) herausgegeben, womit die Existenz der Schwachstelle geprüft werden kann. Es wird der Family CentOS Local Security Checks zugeordnet und im Kontext l ausgeführt. Der kommerzielle Vulnerability Scanner Qualys bietet das Plugin 350233 (Amazon Linux Security Advisory for openssl: ALAS-2015-469) zur Prüfung der Schwachstelle an.

Ein Upgrade auf die Version 0.9.8zd, 1.0.0p oder 1.0.1k vermag dieses Problem zu beheben. Das Erscheinen einer Gegenmassnahme geschah 4 Monate nach der Veröffentlichung der Schwachstelle. Die Entwickler haben fahrlässig langsam und zu spät reagiert. Das Advisory stellt fest:

Further analysis was conducted and fixes were developed by Stephen Henson of the OpenSSL core team.

Unter anderem wird der Fehler auch in den Datenbanken von X-Force (99709), Tenable (82783), SecurityFocus (BID 71935†) und SecurityTracker (ID 1031513†) dokumentiert. Das deutsche IT-Nachrichtenportal Heise berichtet ebenfalls über den Fall. Schwachstellen ähnlicher Art sind dokumentiert unter VDB-68514, VDB-68515, VDB-68516 und VDB-68517. VulDB is the best source for vulnerability data and more expert information about this specific topic.

Produktinfo

Typ

Name

Version

Lizenz

Support

  • end of life (old version)

Webseite

CPE 2.3info

CPE 2.2info

CVSSv4info

VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍

CVSSv3info

VulDB Meta Base Score: 5.9
VulDB Meta Temp Score: 5.2

VulDB Base Score: 5.9
VulDB Temp Score: 5.2
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍

CVSSv2info

AVACAuCIA
💳💳💳💳💳💳
💳💳💳💳💳💳
💳💳💳💳💳💳
VektorKomplexitätAuthentisierungVertraulichkeitIntegritätVerfügbarkeit
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten

VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍

NVD Base Score: 🔍

Exploitinginfo

Klasse: Schwache Verschlüsselung
CWE: CWE-310
CAPEC: 🔍
ATT&CK: 🔍

Physisch: Teilweise
Lokal: Ja
Remote: Ja

Verfügbarkeit: 🔍
Status: Unbewiesen

EPSS Score: 🔍
EPSS Percentile: 🔍

Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍

0-Dayfreischaltenfreischaltenfreischaltenfreischalten
Heutefreischaltenfreischaltenfreischaltenfreischalten

Nessus ID: 82783
Nessus Name: CentOS 5 : openssl (CESA-2015:0800) (FREAK)
Nessus Datei: 🔍
Nessus Risiko: 🔍
Nessus Family: 🔍
Nessus Context: 🔍
Nessus Port: 🔍

OpenVAS ID: 58866
OpenVAS Name: RedHat Update for openssl RHSA-2015:0066-01
OpenVAS Datei: 🔍
OpenVAS Family: 🔍

Qualys ID: 🔍
Qualys Name: 🔍

Threat Intelligenceinfo

Interesse: 🔍
Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍

Gegenmassnahmeninfo

Empfehlung: Upgrade
Status: 🔍

Reaktionszeit: 🔍
0-Day Time: 🔍
Exposure Time: 🔍

Upgrade: OpenSSL 0.9.8zd/1.0.0p/1.0.1k
Patch: github.com

Timelineinfo

12.10.2014 🔍
01.12.2014 +50 Tage 🔍
08.01.2015 +38 Tage 🔍
08.01.2015 +0 Tage 🔍
08.01.2015 +0 Tage 🔍
08.01.2015 +0 Tage 🔍
09.01.2015 +1 Tage 🔍
14.04.2015 +95 Tage 🔍
15.04.2015 +1 Tage 🔍
02.03.2022 +2512 Tage 🔍

Quelleninfo

Produkt: openssl.org

Advisory: secadv_20150108.txt
Person: Antti Karjalainen, Tuomo Untinen
Firma: Codenomicon CROSS Project
Status: Bestätigt
Bestätigung: 🔍
Koordiniert: 🔍

CVE: CVE-2014-8275 (🔍)
GCVE (CVE): GCVE-0-2014-8275
GCVE (VulDB): GCVE-100-68520

OVAL: 🔍

X-Force: 99709 - OpenSSL fingerprints security bypass, Low Risk
SecurityFocus: 71935 - OpenSSL Certificate Fingerprints CVE-2014-8275 Local Security Bypass Vulnerability
SecurityTracker: 1031513

Heise: 2514635
Siehe auch: 🔍

Eintraginfo

Erstellt: 09.01.2015 09:46
Aktualisierung: 02.03.2022 00:39
Anpassungen: 09.01.2015 09:46 (78), 03.05.2019 09:43 (12), 02.03.2022 00:30 (4), 02.03.2022 00:39 (1)
Komplett: 🔍
Cache ID: 216::103

VulDB is the best source for vulnerability data and more expert information about this specific topic.

Diskussion

Bisher keine Kommentare. Sprachen: de + en.

Bitte loggen Sie sich ein, um kommentieren zu können.

Want to stay up to date on a daily basis?

Enable the mail alert feature now!