OpenSSL तक 0.9.8/1.0.0m/1.0.1h Pretty Printing OBJ_obj2txt सूचना का प्रकटीकरण

CVSS मेटा अस्थायी स्कोरवर्तमान एक्सप्लॉइट मूल्य (≈)CTI रुचि स्कोर
3.6$0-$5k0.00

सारांशजानकारी

एक सुरक्षा कमजोरी, जिसे समस्याग्रस्त के रूप में वर्गीकृत किया गया है, OpenSSL तक 0.9.8/1.0.0m/1.0.1h में पाई गई है। प्रभावित होता है फ़ंक्शन OBJ_obj2txt घटक Pretty Printing का। यह संशोधन सूचना का प्रकटीकरण का कारण बन सकता है। यह भेद्यता CVE-2014-3508 के रूप में व्यापार की जाती है। कोई एक्सप्लॉइट नहीं मिला है. इस मुद्दे को ठीक करने के लिए पैच लगाना अनुशंसित है।

विवरणजानकारी

एक सुरक्षा कमजोरी, जिसे समस्याग्रस्त के रूप में वर्गीकृत किया गया है, OpenSSL तक 0.9.8/1.0.0m/1.0.1h में पाई गई है। प्रभावित होता है फ़ंक्शन OBJ_obj2txt घटक Pretty Printing का। यह संशोधन सूचना का प्रकटीकरण का कारण बन सकता है। CWE के माध्यम से समस्या घोषित करने पर CWE-200 मिलता है। 05/07/2005 में यह समस्या उत्पन्न हुई थी. इस कमजोरी को प्रकाशित किया गया था 06/08/2014 द्वारा Ivan Fratric के साथ Google Security Team के रूप में secadv_20140806.txt के रूप में सलाह (वेबसाइट). सलाह openssl.org पर डाउनलोड हेतु साझा की गई है। विक्रेता के साथ मिलकर सार्वजनिक रिलीज़ का समन्वय किया गया है।

यह भेद्यता CVE-2014-3508 के रूप में व्यापार की जाती है। 14/05/2014 को CVE असाइन किया गया था. टेक्निकल डिटेल्स उपलब्ध हैं. इस भेद्यता की लोकप्रियता सामान्य स्तर से नीचे है। कोई एक्सप्लॉइट नहीं मिला है. वर्तमान में किसी एक्सप्लॉइट की कीमत लगभग USD $0-$5k हो सकती है। MITRE ATT&CK परियोजना इस हमले की तकनीक को T1592 घोषित करती है.

यह परिभाषित नहीं के रूप में घोषित है। कम से कम 3319 दिनों तक इस भेद्यता को सार्वजनिक न किए गए ज़ीरो-डे एक्सप्लॉइट के रूप में संभाला गया। 0-day के तौर पर अनुमानित भूमिगत दाम लगभग $5k-$25k था। Nessus वल्नरेबिलिटी स्कैनर 80724 आईडी के साथ एक प्लगइन उपलब्ध कराता है। यह Solaris Local Security Checks परिवार को सौंपा गया है। यह पोर्ट 0 पर निर्भर है. वाणिज्यिक वल्नरेबिलिटी स्कैनर Qualys इस समस्या का परीक्षण 122577 प्लगइन से कर सकता है (WinSCP OpenSSL Multiple Vulnerabilities).

इस समस्या का समाधान 0.9.8zb, 1.0.0n , 1.0.1i संस्करण में अपग्रेड करने से किया जा सकता है। इस मुद्दे को ठीक करने के लिए पैच लगाना अनुशंसित है। परामर्श में निम्नलिखित टिप्पणी शामिल है:

The fix was developed by Emilia Käsper and Stephen Henson of the OpenSSL development team.

यह कमज़ोरी अन्य कमज़ोरी डेटाबेस में भी उपलब्ध है: SecurityFocus (BID 69075), X-Force (95165), Secunia (SA59221), SecurityTracker (ID 1030693) , Vulnerability Center (SBV-48820).

उत्पादजानकारी

प्रकार

नाम

संस्करण

लाइसेंस

समर्थन

  • end of life (old version)

वेबसाइट

CPE 2.3जानकारी

CPE 2.2जानकारी

CVSSv4जानकारी

VulDB वेक्टर: 🔍
VulDB विश्वसनीयता: 🔍

CVSSv3जानकारी

VulDB मेटा बेस स्कोर: 3.7
VulDB मेटा अस्थायी स्कोर: 3.6

VulDB मूल स्कोर: 3.7
VulDB अस्थायी स्कोर: 3.6
VulDB वेक्टर: 🔍
VulDB विश्वसनीयता: 🔍

CVSSv2जानकारी

AVACAuCIA
💳💳💳💳💳💳
💳💳💳💳💳💳
💳💳💳💳💳💳
सदिशजटिलताप्रमाणीकरणगोपनीयताअखंडताउपलब्धता
अनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करना
अनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करना
अनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करना

VulDB मूल स्कोर: 🔍
VulDB अस्थायी स्कोर: 🔍
VulDB विश्वसनीयता: 🔍

NVD मूल स्कोर: 🔍

शोषणजानकारी

वर्ग: सूचना का प्रकटीकरण
CWE: CWE-200 / CWE-284 / CWE-266
CAPEC: 🔍
ATT&CK: 🔍

भौतिक: नहीं
स्थानीय: नहीं
दूरस्थ: हाँ

उपलब्धता: 🔍
स्थिति: परिभाषित नहीं

EPSS Score: 🔍
EPSS Percentile: 🔍

मूल्य पूर्वानुमान: 🔍
वर्तमान मूल्य अनुमान: 🔍

0-Dayअनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करना
आजअनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करना

Nessus ID: 80724
Nessus नाम: Oracle Solaris Third-Party Patch Update : openssl (cve_2014_3508_information_disclosure)
Nessus Arquivo: 🔍
Nessus जोखिम: 🔍
Nessus परिवार: 🔍
Nessus Port: 🔍

OpenVAS ID: 702998
OpenVAS नाम: Debian Security Advisory DSA 2998-1 (openssl - security update)
OpenVAS Arquivo: 🔍
OpenVAS परिवार: 🔍

Qualys ID: 🔍
Qualys नाम: 🔍

खतरे की खुफियाजानकारी

रुचि: 🔍
सक्रिय अभिनेता: 🔍
सक्रिय APT समूह: 🔍

प्रतिव्यवस्थाजानकारी

सिफारिश: पैच
स्थिति: 🔍

प्रतिक्रिया समय: 🔍
0-दिवसीय समय: 🔍
उजागर समय: 🔍

अपग्रेड: OpenSSL 0.9.8zb/1.0.0n/1.0.1i
पैच: 0042fb5fd1c9d257d713b15a1f45da05cf5c1c87

समयरेखाजानकारी

05/07/2005 🔍
14/05/2014 +3235 दिन 🔍
19/06/2014 +36 दिन 🔍
06/08/2014 +48 दिन 🔍
06/08/2014 +0 दिन 🔍
06/08/2014 +0 दिन 🔍
07/08/2014 +1 दिन 🔍
08/08/2014 +1 दिन 🔍
13/08/2014 +5 दिन 🔍
19/01/2015 +159 दिन 🔍
26/02/2015 +38 दिन 🔍
01/03/2015 +3 दिन 🔍
10/02/2022 +2538 दिन 🔍

स्रोतजानकारी

उत्पाद: openssl.org

सलाह: secadv_20140806.txt
शोधकर्ता: Ivan Fratric
संगठन: Google Security Team
स्थिति: पुष्टि की गई
पुष्टि: 🔍
समन्वित: 🔍

CVE: CVE-2014-3508 (🔍)
GCVE (CVE): GCVE-0-2014-3508
GCVE (VulDB): GCVE-100-67297

OVAL: 🔍
IAVM: 🔍

X-Force: 95165
SecurityFocus: 69075 - OpenSSL CVE-2014-3508 Information Disclosure Vulnerability
Secunia: 59221
SecurityTracker: 1030693 - OpenSSL Bugs Let Remote Users Deny Service, Obtain Information, and Potentially Execute Arbitrary Code
Vulnerability Center: 48820 - OpenSSL <0.9.8zb, <1.0.0n, <1.0.1i Remote Information Disclosure Vulnerability via Pretty Printing, Medium

यह भी देखें: 🔍

प्रविष्टिजानकारी

बनाया गया: 08/08/2014 10:20 AM
अद्यतनित: 10/02/2022 09:12 AM
परिवर्तन: 08/08/2014 10:20 AM (89), 21/06/2017 10:57 AM (6), 10/02/2022 09:06 AM (5), 10/02/2022 09:10 AM (1), 10/02/2022 09:12 AM (1)
पूर्ण: 🔍
Cache ID: 216::103

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

चर्चा

अभी तक कोई टिप्पणी नहीं भाषाएँ: hi + ne + en.

टिप्पणी करने के लिए कृपया लॉगिन करें

Do you need the next level of professionalism?

Upgrade your account now!