OpenSSL 0.9.8/1.0.0/1.0.1 Handshake कमजोर एन्क्रिप्शन

CVSS मेटा अस्थायी स्कोरवर्तमान एक्सप्लॉइट मूल्य (≈)CTI रुचि स्कोर
6.2$0-$5k0.00

सारांशजानकारी

एक भेद्यता जिसे समस्याग्रस्त के रूप में वर्गीकृत किया गया है, OpenSSL 0.9.8/1.0.0/1.0.1 में खोजी गई है। प्रभावित होता है कोई अज्ञात फ़ंक्शन घटक Handshake Handler का। यह परिवर्तन कमजोर एन्क्रिप्शन का कारण बनता है। यह भेद्यता CVE-2014-0224 के रूप में जानी जाती है। यह हमला दूर से किया जा सकता है। कोई एक्सप्लॉइट नहीं मिला है. यह अनुशंसा की जाती है कि प्रभावित घटक को अपग्रेड किया जाए।

विवरणजानकारी

एक भेद्यता जिसे समस्याग्रस्त के रूप में वर्गीकृत किया गया है, OpenSSL 0.9.8/1.0.0/1.0.1 में खोजी गई है। प्रभावित होता है कोई अज्ञात फ़ंक्शन घटक Handshake Handler का। यह परिवर्तन कमजोर एन्क्रिप्शन का कारण बनता है। समस्या को घोषित करने के लिए CWE का उपयोग करने से CWE-310 की ओर ले जाता है। यह समस्या 05/07/2005 के दौरान आई थी. यह कमजोरी प्रकाशित हुई थी 05/06/2014 द्वारा Masashi Kikuchi के साथ Lepidum Co. Ltd. के रूप में secadv_20140605.txt के रूप में सलाह (वेबसाइट) के माध्यम से JPCERT/CC. openssl.org पर यह परामर्श डाउनलोड हेतु उपलब्ध कराया गया है। विक्रेता के साथ सार्वजनिक रिलीज़ का समन्वय किया गया है।

यह भेद्यता CVE-2014-0224 के रूप में जानी जाती है। 03/12/2013 को CVE असाइन किया गया था. यह हमला दूर से किया जा सकता है। कोई टेक्निकल डिटेल्स उपलब्ध नहीं हैं. यह भेद्यता सामान्य से कम लोकप्रिय है। कोई एक्सप्लॉइट नहीं मिला है. अभी के लिए एक्सप्लॉइट की कीमत might be approx. USD $0-$5k है। यदि T1600 की लंबाई है, तो MITRE ATT&CK परियोजना इस हमले की तकनीक को T1600 के रूप में घोषित करती है।

इसे उच्च कार्यात्मक घोषित किया गया है। इस भेद्यता को कम से कम 3257 दिनों के लिए गैर-प्रकाशित ज़ीरो-डे एक्सप्लॉइट के रूप में माना गया था। 0-डे के लिए अनुमानित भूमिगत कीमत लगभग $5k-$25k थी. Nessus द्वारा 74348 आईडी वाला एक प्लगइन दिया गया है। इसे Red Hat Local Security Checks फैमिली के अंतर्गत रखा गया है। यह 0 पोर्ट पर आधारित है. वाणिज्यिक वल्नरेबिलिटी स्कैनर Qualys इस समस्या का परीक्षण 185081 प्लगइन से कर सकता है (HP-UX Running OpenSSL Multiple Vulnerabilities (HPSBUX03046)).

इस समस्या का समाधान 0.9.8za, 1.0.0m , 1.0.1h संस्करण में अपग्रेड करने से किया जा सकता है। यह अनुशंसा की जाती है कि प्रभावित घटक को अपग्रेड किया जाए। एडवाइजरी में यह उल्लेख किया गया है:

The fix was developed by Stephen Henson of the OpenSSL core team partly based on an original patch from KIKUCHI Masashi.

कमज़ोरी अन्य कमज़ोरी डेटाबेस में भी प्रलेखित है: SecurityFocus (BID 67898), X-Force (93586), Secunia (SA58403), SecurityTracker (ID 1030336) , Tenable (74348).

प्रभावित

  • Google Chrome for Android तक 34.0.1847
  • MetaSploit Framework तक 4.9.3
  • McAfee Web Gateway तक 7.3.2.10/7.4.2.1
  • Python on Windows 2.7.x/3.x
  • WinSCP तक 5.5.3
  • Cisco ASA

उत्पादजानकारी

प्रकार

नाम

संस्करण

लाइसेंस

समर्थन

  • end of life (old version)

वेबसाइट

CPE 2.3जानकारी

CPE 2.2जानकारी

वीडियो

CVSSv4जानकारी

VulDB वेक्टर: 🔍
VulDB विश्वसनीयता: 🔍

CVSSv3जानकारी

VulDB मेटा बेस स्कोर: 6.5
VulDB मेटा अस्थायी स्कोर: 6.2

VulDB मूल स्कोर: 6.5
VulDB अस्थायी स्कोर: 6.2
VulDB वेक्टर: 🔍
VulDB विश्वसनीयता: 🔍

CVSSv2जानकारी

AVACAuCIA
💳💳💳💳💳💳
💳💳💳💳💳💳
💳💳💳💳💳💳
सदिशजटिलताप्रमाणीकरणगोपनीयताअखंडताउपलब्धता
अनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करना
अनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करना
अनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करना

VulDB मूल स्कोर: 🔍
VulDB अस्थायी स्कोर: 🔍
VulDB विश्वसनीयता: 🔍

शोषणजानकारी

वर्ग: कमजोर एन्क्रिप्शन
CWE: CWE-310
CAPEC: 🔍
ATT&CK: 🔍

भौतिक: नहीं
स्थानीय: नहीं
दूरस्थ: हाँ

उपलब्धता: 🔍
स्थिति: उच्च कार्यात्मक

EPSS Score: 🔍
EPSS Percentile: 🔍

मूल्य पूर्वानुमान: 🔍
वर्तमान मूल्य अनुमान: 🔍

0-Dayअनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करना
आजअनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करना

Nessus ID: 74348
Nessus नाम: RHEL 5 / 6 : openssl097a and openssl098e (RHSA-2014:0626)
Nessus Arquivo: 🔍
Nessus जोखिम: 🔍
Nessus परिवार: 🔍
Nessus Port: 🔍

OpenVAS ID: 66169
OpenVAS नाम: Junos SSL/TLS MITM Vulnerability
OpenVAS Arquivo: 🔍
OpenVAS परिवार: 🔍

Qualys ID: 🔍
Qualys नाम: 🔍

MetaSploit ID: openssl_ccs.rb
MetaSploit नाम: OpenSSL Server-Side ChangeCipherSpec Injection Scanner
MetaSploit Arquivo: 🔍

खतरे की खुफियाजानकारी

रुचि: 🔍
सक्रिय अभिनेता: 🔍
सक्रिय APT समूह: 🔍

प्रतिव्यवस्थाजानकारी

सिफारिश: अपग्रेड
स्थिति: 🔍

प्रतिक्रिया समय: 🔍
0-दिवसीय समय: 🔍
उजागर समय: 🔍

अपग्रेड: OpenSSL 0.9.8za/1.0.0m/1.0.1h

समयरेखाजानकारी

05/07/2005 🔍
03/12/2013 +3073 दिन 🔍
01/05/2014 +149 दिन 🔍
05/06/2014 +34 दिन 🔍
05/06/2014 +0 दिन 🔍
05/06/2014 +0 दिन 🔍
05/06/2014 +0 दिन 🔍
05/06/2014 +0 दिन 🔍
05/06/2014 +0 दिन 🔍
05/06/2014 +0 दिन 🔍
06/06/2014 +1 दिन 🔍
23/04/2025 +3973 दिन 🔍

स्रोतजानकारी

उत्पाद: openssl.org

सलाह: secadv_20140605.txt
शोधकर्ता: Masashi Kikuchi
संगठन: Lepidum Co. Ltd.
स्थिति: पुष्टि की गई
पुष्टि: 🔍
समन्वित: 🔍

CVE: CVE-2014-0224 (🔍)
GCVE (CVE): GCVE-0-2014-0224
GCVE (VulDB): GCVE-100-13452

OVAL: 🔍
IAVM: 🔍

CERT: 🔍
X-Force: 93586 - OpenSSL cSSL/TLS clients and servers man-in-the-middle, Medium Risk
SecurityFocus: 67898
Secunia: 58403 - OpenSSL Multiple Vulnerabilities, Highly Critical
SecurityTracker: 1030336 - OpenSSL SSL/TLS Weak Key Man-in-the-Middle Attack Lets Remote Users Decrypt and Modify Data

विविध: 🔍
यह भी देखें: 🔍

प्रविष्टिजानकारी

बनाया गया: 05/06/2014 03:48 PM
अद्यतनित: 23/04/2025 12:27 AM
परिवर्तन: 05/06/2014 03:48 PM (81), 15/02/2017 11:29 AM (15), 20/06/2021 03:59 PM (1), 20/06/2021 04:04 PM (2), 20/06/2021 04:09 PM (1), 26/01/2025 07:53 PM (15), 23/04/2025 12:27 AM (2)
पूर्ण: 🔍
Cache ID: 216::103

Once again VulDB remains the best source for vulnerability data.

चर्चा

अभी तक कोई टिप्पणी नहीं भाषाएँ: hi + ne + en.

टिप्पणी करने के लिए कृपया लॉगिन करें

Interested in the pricing of exploits?

See the underground prices here!