OpenSSL तक 1.0.1j ECDH Handshake कमजोर एन्क्रिप्शन

CVSS मेटा अस्थायी स्कोरवर्तमान एक्सप्लॉइट मूल्य (≈)CTI रुचि स्कोर
4.6$0-$5k0.00

सारांशजानकारी

एक भेद्यता जिसे आलोचनात्मक के रूप में वर्गीकृत किया गया है, OpenSSL में खोजी गई है। प्रभावित है एक अज्ञात फ़ंक्शन घटक ECDH Handshake Handler की। हेरफेर के कारण कमजोर एन्क्रिप्शन होती है। यह सुरक्षा कमजोरी CVE-2014-3572 के रूप में संदर्भित है। दूरस्थ स्थान से हमला शुरू करना संभव है। कोई शोषण मौजूद नहीं है. प्रभावित घटक को अपग्रेड करने की सिफारिश की जाती है।

विवरणजानकारी

एक भेद्यता जिसे आलोचनात्मक के रूप में वर्गीकृत किया गया है, OpenSSL में खोजी गई है। प्रभावित है एक अज्ञात फ़ंक्शन घटक ECDH Handshake Handler की। हेरफेर के कारण कमजोर एन्क्रिप्शन होती है। समस्या को घोषित करने के लिए CWE का उपयोग करने से CWE-310 की ओर ले जाता है। यह कमजोरी प्रकाशित हुई थी 08/01/2015 द्वारा Karthikeyan Bhargavan के साथ Prosecco के रूप में secadv_20150108.txt के रूप में सलाह (वेबसाइट). एडवाइजरी डाउनलोड के लिए openssl.org पर साझा की गई है। सार्वजनिक प्रकटीकरण विक्रेता के साथ समन्वयित किया गया है।

यह सुरक्षा कमजोरी CVE-2014-3572 के रूप में संदर्भित है। CVE आवंटन 14/05/2014 को हुआ था. दूरस्थ स्थान से हमला शुरू करना संभव है। कोई तकनीकी जानकारी उपलब्ध नहीं है. इस भेद्यता की लोकप्रियता औसत से कम है। कोई शोषण मौजूद नहीं है. इस समय एक्सप्लॉइट का मौजूदा मूल्य करीब USD $0-$5k माना जा रहा है। MITRE ATT&CK परियोजना के अनुसार हमले की तकनीक T1600 है. एडवाइजरी में उल्लेख किया गया है:

An OpenSSL client will accept a handshake using an ephemeral ECDH ciphersuite using an ECDSA certificate if the server key exchange message is omitted. This effectively removes forward secrecy from the ciphersuite.

0-day के रूप में अनुमानित भूमिगत कीमत लगभग $5k-$25k थी। Nessus द्वारा 84058 आईडी वाला एक प्लगइन दिया गया है। इसे Windows फैमिली के अंतर्गत रखा गया है। प्लगइन l प्रकार के संदर्भ में चल रहा है। वाणिज्यिक वल्नरेबिलिटी स्कैनर Qualys इस समस्या का परीक्षण 185099 प्लगइन से कर सकता है (HP-UX Running OpenSSL Multiple Vulnerabilities (HPSBUX03244)).

0.9.8zd, 1.0.0p , 1.0.1k संस्करण में अपग्रेड करने से इस समस्या का समाधान हो सकता है। प्रभावित घटक को अपग्रेड करने की सिफारिश की जाती है। कमजोरी के खुलासे के 6 महीने बाद एक संभावित समाधान प्रकाशित हुआ है। एडवाइजरी में यह उल्लेख किया गया है:

The fix was developed by Stephen Henson of the OpenSSL core team.

कमज़ोरी अन्य कमज़ोरी डेटाबेस में भी प्रलेखित है: SecurityFocus (BID 71936), X-Force (99705), SecurityTracker (ID 1031513) , Tenable (84058).

उत्पादजानकारी

प्रकार

नाम

संस्करण

लाइसेंस

समर्थन

  • end of life (old version)

वेबसाइट

CPE 2.3जानकारी

CPE 2.2जानकारी

CVSSv4जानकारी

VulDB वेक्टर: 🔍
VulDB विश्वसनीयता: 🔍

CVSSv3जानकारी

VulDB मेटा बेस स्कोर: 5.3
VulDB मेटा अस्थायी स्कोर: 4.6

VulDB मूल स्कोर: 5.3
VulDB अस्थायी स्कोर: 4.6
VulDB वेक्टर: 🔍
VulDB विश्वसनीयता: 🔍

CVSSv2जानकारी

AVACAuCIA
💳💳💳💳💳💳
💳💳💳💳💳💳
💳💳💳💳💳💳
सदिशजटिलताप्रमाणीकरणगोपनीयताअखंडताउपलब्धता
अनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करना
अनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करना
अनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करना

VulDB मूल स्कोर: 🔍
VulDB अस्थायी स्कोर: 🔍
VulDB विश्वसनीयता: 🔍

NVD मूल स्कोर: 🔍

शोषणजानकारी

वर्ग: कमजोर एन्क्रिप्शन
CWE: CWE-310
CAPEC: 🔍
ATT&CK: 🔍

भौतिक: आंशिक रूप से
स्थानीय: हाँ
दूरस्थ: हाँ

उपलब्धता: 🔍
स्थिति: असिद्ध

EPSS Score: 🔍
EPSS Percentile: 🔍

मूल्य पूर्वानुमान: 🔍
वर्तमान मूल्य अनुमान: 🔍

0-Dayअनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करना
आजअनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करना

Nessus ID: 84058
Nessus नाम: MS KB3062760: Update for Vulnerability in Juniper Networks Windows In-Box Junos Pulse Client (FREAK)
Nessus Arquivo: 🔍
Nessus जोखिम: 🔍
Nessus परिवार: 🔍
Nessus Context: 🔍

OpenVAS ID: 58866
OpenVAS नाम: RedHat Update for openssl RHSA-2015:0066-01
OpenVAS Arquivo: 🔍
OpenVAS परिवार: 🔍

Qualys ID: 🔍
Qualys नाम: 🔍

खतरे की खुफियाजानकारी

रुचि: 🔍
सक्रिय अभिनेता: 🔍
सक्रिय APT समूह: 🔍

प्रतिव्यवस्थाजानकारी

सिफारिश: अपग्रेड
स्थिति: 🔍

प्रतिक्रिया समय: 🔍
0-दिवसीय समय: 🔍
उजागर समय: 🔍

अपग्रेड: OpenSSL 0.9.8zd/1.0.0p/1.0.1k
पैच: github.com

समयरेखाजानकारी

14/05/2014 🔍
08/01/2015 +239 दिन 🔍
08/01/2015 +0 दिन 🔍
08/01/2015 +0 दिन 🔍
08/01/2015 +0 दिन 🔍
09/01/2015 +1 दिन 🔍
09/06/2015 +151 दिन 🔍
09/06/2015 +0 दिन 🔍
01/03/2022 +2457 दिन 🔍

स्रोतजानकारी

उत्पाद: openssl.org

सलाह: secadv_20150108.txt
शोधकर्ता: Karthikeyan Bhargavan
संगठन: Prosecco
स्थिति: पुष्टि की गई
पुष्टि: 🔍
समन्वित: 🔍

CVE: CVE-2014-3572 (🔍)
GCVE (CVE): GCVE-0-2014-3572
GCVE (VulDB): GCVE-100-68516

OVAL: 🔍

X-Force: 99705 - OpenSSL ECDH weak security, Low Risk
SecurityFocus: 71936 - OpenSSL CVE-2015-0204 Man in the Middle Security Bypass Vulnerability
SecurityTracker: 1031513

यह भी देखें: 🔍

प्रविष्टिजानकारी

बनाया गया: 09/01/2015 09:45 AM
अद्यतनित: 01/03/2022 11:49 PM
परिवर्तन: 09/01/2015 09:45 AM (77), 02/05/2019 09:14 PM (12), 01/03/2022 11:49 PM (4)
पूर्ण: 🔍
Cache ID: 216::103

Once again VulDB remains the best source for vulnerability data.

चर्चा

अभी तक कोई टिप्पणी नहीं भाषाएँ: hi + ne + en.

टिप्पणी करने के लिए कृपया लॉगिन करें

Do you need the next level of professionalism?

Upgrade your account now!