OpenSSL तक 1.0.1e TLS Cipher ssl/s3_lib.c ssl_get_algorithm2 कमजोर एन्क्रिप्शन
| CVSS मेटा अस्थायी स्कोर | वर्तमान एक्सप्लॉइट मूल्य (≈) | CTI रुचि स्कोर |
|---|---|---|
| 5.7 | $0-$5k | 0.00 |
सारांश
एक भेद्यता जिसे समस्याग्रस्त के रूप में वर्गीकृत किया गया है, OpenSSL में खोजी गई है। प्रभावित तत्त्व है ssl_get_algorithm2 नामक कार्य ssl/s3_lib.c फ़ाइल में मौजूद है और TLS Cipher Handler घटक से संबंधित है। हेरफेर के कारण कमजोर एन्क्रिप्शन होती है।
इस भेद्यता को CVE-2013-6449 आईडी के तहत ट्रैक किया जाता है। कोई एक्सप्लॉइट उपलब्ध नहीं है.
प्रभावित घटक को अपग्रेड करने की सिफारिश की जाती है।
विवरण
एक भेद्यता जिसे समस्याग्रस्त के रूप में वर्गीकृत किया गया है, OpenSSL में खोजी गई है। प्रभावित तत्त्व है ssl_get_algorithm2 नामक कार्य ssl/s3_lib.c फ़ाइल में मौजूद है और TLS Cipher Handler घटक से संबंधित है। हेरफेर के कारण कमजोर एन्क्रिप्शन होती है। समस्या को घोषित करने के लिए CWE का उपयोग करने से CWE-310 की ओर ले जाता है। यह समस्या 29/03/2010 में पेश की गई थी. यह कमजोरी प्रकाशित हुई थी 14/12/2013 द्वारा Bryan Call के रूप में Use version in SSL_METHOD not SSL structure. के रूप में GIT Commit (GIT Repository). एडवाइजरी डाउनलोड के लिए git.openssl.org पर साझा की गई है।
इस भेद्यता को CVE-2013-6449 आईडी के तहत ट्रैक किया जाता है। CVE असाइनमेंट 04/11/2013 पर हुआ था. तकनीकी विवरण उपलब्ध हैं. इस भेद्यता की लोकप्रियता औसत से कम है। कोई एक्सप्लॉइट उपलब्ध नहीं है. अब के लिए एक्सप्लॉइट की कीमत अनुमानतः USD $0-$5k हो सकती है। MITRE ATT&CK परियोजना हमले की तकनीक को T1600 के रूप में घोषित करती है.
इसे परिभाषित नहीं घोषित किया गया है। इस भेद्यता को कम से कम 1356 दिनों के लिए गैर-प्रकाशित ज़ीरो-डे एक्सप्लॉइट के रूप में माना गया था। 0-day के समय अनुमानित अंडरग्राउंड मूल्य लगभग $5k-$25k था। Nessus द्वारा 71602 आईडी वाला एक प्लगइन दिया गया है। इसे Fedora Local Security Checks फैमिली के अंतर्गत रखा गया है। यह 0 पोर्ट का उपयोग कर रहा है. वाणिज्यिक वल्नरेबिलिटी स्कैनर Qualys इस समस्या का परीक्षण 350258 प्लगइन से कर सकता है (Amazon Linux Security Advisory for openssl: AL2012-2014-003).
बग फिक्स git.openssl.org से डाउनलोड के लिए तैयार है। प्रभावित घटक को अपग्रेड करने की सिफारिश की जाती है। कमजोरी के खुलासे के 5 दिन बाद एक संभावित समाधान प्रकाशित हुआ है।
इसके अतिरिक्त, TippingPoint और फ़िल्टर 13939 के माध्यम से इस प्रकार के हमले का पता लगाना और उसे रोकना संभव है। कमज़ोरी अन्य कमज़ोरी डेटाबेस में भी प्रलेखित है: SecurityFocus (BID 64530), Vulnerability Center (SBV-42769) , Tenable (71602).
उत्पाद
प्रकार
नाम
संस्करण
- 1.0.0
- 1.0.0a
- 1.0.0b
- 1.0.0c
- 1.0.0d
- 1.0.0e
- 1.0.0f
- 1.0.0g
- 1.0.0h
- 1.0.0i
- 1.0.0j
- 1.0.1
- 1.0.1a
- 1.0.1b
- 1.0.1c
- 1.0.1d
- 1.0.1e
लाइसेंस
समर्थन
- end of life (old version)
वेबसाइट
- उत्पाद: https://www.openssl.org/
CPE 2.3
CPE 2.2
CVSSv4
VulDB वेक्टर: 🔍VulDB विश्वसनीयता: 🔍
CVSSv3
VulDB मेटा बेस स्कोर: 5.9VulDB मेटा अस्थायी स्कोर: 5.7
VulDB मूल स्कोर: 5.9
VulDB अस्थायी स्कोर: 5.7
VulDB वेक्टर: 🔍
VulDB विश्वसनीयता: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| सदिश | जटिलता | प्रमाणीकरण | गोपनीयता | अखंडता | उपलब्धता |
|---|---|---|---|---|---|
| अनलॉक करना | अनलॉक करना | अनलॉक करना | अनलॉक करना | अनलॉक करना | अनलॉक करना |
| अनलॉक करना | अनलॉक करना | अनलॉक करना | अनलॉक करना | अनलॉक करना | अनलॉक करना |
| अनलॉक करना | अनलॉक करना | अनलॉक करना | अनलॉक करना | अनलॉक करना | अनलॉक करना |
VulDB मूल स्कोर: 🔍
VulDB अस्थायी स्कोर: 🔍
VulDB विश्वसनीयता: 🔍
NVD मूल स्कोर: 🔍
शोषण
वर्ग: कमजोर एन्क्रिप्शनCWE: CWE-310
CAPEC: 🔍
ATT&CK: 🔍
भौतिक: नहीं
स्थानीय: नहीं
दूरस्थ: हाँ
उपलब्धता: 🔍
स्थिति: परिभाषित नहीं
EPSS Score: 🔍
EPSS Percentile: 🔍
मूल्य पूर्वानुमान: 🔍
वर्तमान मूल्य अनुमान: 🔍
| 0-Day | अनलॉक करना | अनलॉक करना | अनलॉक करना | अनलॉक करना |
|---|---|---|---|---|
| आज | अनलॉक करना | अनलॉक करना | अनलॉक करना | अनलॉक करना |
Nessus ID: 71602
Nessus नाम: Fedora 19 : openssl-1.0.1e-36.fc19 (2013-23794)
Nessus Arquivo: 🔍
Nessus जोखिम: 🔍
Nessus परिवार: 🔍
Nessus Port: 🔍
OpenVAS ID: 702833
OpenVAS नाम: Debian Security Advisory DSA 2833-1 (openssl - several vulnerabilities
OpenVAS Arquivo: 🔍
OpenVAS परिवार: 🔍
Qualys ID: 🔍
Qualys नाम: 🔍
खतरे की खुफिया
रुचि: 🔍सक्रिय अभिनेता: 🔍
सक्रिय APT समूह: 🔍
प्रतिव्यवस्था
सिफारिश: अपग्रेडस्थिति: 🔍
प्रतिक्रिया समय: 🔍
0-दिवसीय समय: 🔍
उजागर समय: 🔍
पैच: git.openssl.org
TippingPoint: 🔍
ISS Proventia IPS: 🔍
Fortigate IPS: 🔍
समयरेखा
29/03/2010 🔍04/11/2013 🔍
14/12/2013 🔍
19/12/2013 🔍
23/12/2013 🔍
23/12/2013 🔍
23/12/2013 🔍
23/12/2013 🔍
24/12/2013 🔍
01/01/2014 🔍
04/06/2021 🔍
स्रोत
उत्पाद: openssl.orgसलाह: Use version in SSL_METHOD not SSL structure.
शोधकर्ता: Bryan Call
स्थिति: पुष्टि की गई
पुष्टि: 🔍
CVE: CVE-2013-6449 (🔍)
GCVE (CVE): GCVE-0-2013-6449
GCVE (VulDB): GCVE-100-11600
OVAL: 🔍
IAVM: 🔍
SecurityFocus: 64530
OSVDB: 101347
SecurityTracker: 1029548
Vulnerability Center: 42769 - [cpujul2014-1972956, cpujan2015-1972971] OpenSSL Before 1.0.2 Remote Denial of Service via Crafted Input From a TLS 1.2 Client, Medium
विविध: 🔍
यह भी देखें: 🔍
प्रविष्टि
बनाया गया: 24/12/2013 11:38 PMअद्यतनित: 04/06/2021 02:38 PM
परिवर्तन: 24/12/2013 11:38 PM (87), 18/05/2017 05:51 PM (2), 04/06/2021 02:31 PM (3), 04/06/2021 02:33 PM (2), 04/06/2021 02:38 PM (1)
पूर्ण: 🔍
Cache ID: 216::103
VulDB is the best source for vulnerability data and more expert information about this specific topic.
अभी तक कोई टिप्पणी नहीं भाषाएँ: hi + ne + en.
टिप्पणी करने के लिए कृपया लॉगिन करें