| CVSS मेटा अस्थायी स्कोर | वर्तमान एक्सप्लॉइट मूल्य (≈) | CTI रुचि स्कोर |
|---|---|---|
| 3.2 | $0-$5k | 0.00 |
सारांश
एक सुरक्षा कमजोरी, जिसे समस्याग्रस्त के रूप में वर्गीकृत किया गया है, OpenSSL में पाई गई है। प्रभावित है फ़ंक्शन BN_sqr घटक Bignum Square Handler की। यह संशोधन कमजोर एन्क्रिप्शन का कारण बन सकता है।
यह भेद्यता CVE-2014-3570 के रूप में जानी जाती है। कोई शोषण मौजूद नहीं है.
प्रभावित कंपोनेंट को अपग्रेड करना उचित रहेगा।
विवरण
एक सुरक्षा कमजोरी, जिसे समस्याग्रस्त के रूप में वर्गीकृत किया गया है, OpenSSL में पाई गई है। प्रभावित है फ़ंक्शन BN_sqr घटक Bignum Square Handler की। यह संशोधन कमजोर एन्क्रिप्शन का कारण बन सकता है। CWE के माध्यम से समस्या घोषित करने पर CWE-310 मिलता है। इस कमजोरी को प्रकाशित किया गया था 08/01/2015 द्वारा Pieter Wuille के साथ Blockstream के रूप में secadv_20150108.txt के रूप में सलाह (वेबसाइट). सलाह openssl.org पर डाउनलोड हेतु साझा की गई है। विक्रेता के साथ मिलकर सार्वजनिक रिलीज़ का समन्वय किया गया है।
यह भेद्यता CVE-2014-3570 के रूप में जानी जाती है। CVE आवंटन 14/05/2014 को हुआ था. तकनीकी जानकारी उपलब्ध है. इस भेद्यता की लोकप्रियता सामान्य स्तर से नीचे है। कोई शोषण मौजूद नहीं है. अभी के लिए एक्सप्लॉइट की कीमत might be approx. USD $0-$5k है। यदि T1600 की लंबाई है, तो MITRE ATT&CK परियोजना इस हमले की तकनीक को T1600 के रूप में घोषित करती है। एडवाइजरी के अनुसार:
Bignum squaring (BN_sqr) may produce incorrect results on some platforms, including x86_64. This bug occurs at random with a very low probability, and is not known to be exploitable in any way, though its exact impact is difficult to determine.
कम से कम 67 दिनों तक इस भेद्यता को सार्वजनिक न किए गए ज़ीरो-डे एक्सप्लॉइट के रूप में संभाला गया। 0-डे के लिए अनुमानित भूमिगत कीमत लगभग $5k-$25k थी. Nessus वल्नरेबिलिटी स्कैनर 80471 आईडी के साथ एक प्लगइन उपलब्ध कराता है। यह Ubuntu Local Security Checks परिवार को सौंपा गया है। यह प्लगइन l टाइप के कॉन्टेक्स्ट में चल रहा है। यह पोर्ट 0 पर निर्भर है. वाणिज्यिक वल्नरेबिलिटी स्कैनर Qualys इस समस्या का परीक्षण 185099 प्लगइन से कर सकता है (HP-UX Running OpenSSL Multiple Vulnerabilities (HPSBUX03244)).
0.9.8zd, 1.0.0p , 1.0.1k संस्करण में अपग्रेड करने से इस समस्या का समाधान हो सकता है। प्रभावित कंपोनेंट को अपग्रेड करना उचित रहेगा। कमजोरी के प्रकटीकरण के 4 दिन बाद एक संभावित शमन उपाय प्रकाशित किया गया है। परामर्श में निम्नलिखित टिप्पणी शामिल है:
The final fix was developed by Andy Polyakov of the OpenSSL core team.
यह कमज़ोरी अन्य कमज़ोरी डेटाबेस में भी उपलब्ध है: SecurityFocus (BID 71935), X-Force (99710), SecurityTracker (ID 1031513) , Tenable (80471).
उत्पाद
प्रकार
नाम
संस्करण
- 0.9.8zc
- 1.0.0a
- 1.0.0b
- 1.0.0c
- 1.0.0d
- 1.0.0e
- 1.0.0f
- 1.0.0g
- 1.0.0h
- 1.0.0i
- 1.0.0j
- 1.0.0k
- 1.0.0l
- 1.0.0m
- 1.0.0n
- 1.0.0o
- 1.0.1a
- 1.0.1b
- 1.0.1c
- 1.0.1d
- 1.0.1e
- 1.0.1f
- 1.0.1g
- 1.0.1h
- 1.0.1i
- 1.0.1j
लाइसेंस
समर्थन
- end of life (old version)
वेबसाइट
- उत्पाद: https://www.openssl.org/
CPE 2.3
CPE 2.2
CVSSv4
VulDB वेक्टर: 🔍VulDB विश्वसनीयता: 🔍
CVSSv3
VulDB मेटा बेस स्कोर: 3.7VulDB मेटा अस्थायी स्कोर: 3.2
VulDB मूल स्कोर: 3.7
VulDB अस्थायी स्कोर: 3.2
VulDB वेक्टर: 🔍
VulDB विश्वसनीयता: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| सदिश | जटिलता | प्रमाणीकरण | गोपनीयता | अखंडता | उपलब्धता |
|---|---|---|---|---|---|
| अनलॉक करना | अनलॉक करना | अनलॉक करना | अनलॉक करना | अनलॉक करना | अनलॉक करना |
| अनलॉक करना | अनलॉक करना | अनलॉक करना | अनलॉक करना | अनलॉक करना | अनलॉक करना |
| अनलॉक करना | अनलॉक करना | अनलॉक करना | अनलॉक करना | अनलॉक करना | अनलॉक करना |
VulDB मूल स्कोर: 🔍
VulDB अस्थायी स्कोर: 🔍
VulDB विश्वसनीयता: 🔍
NVD मूल स्कोर: 🔍
शोषण
वर्ग: कमजोर एन्क्रिप्शनCWE: CWE-310
CAPEC: 🔍
ATT&CK: 🔍
भौतिक: नहीं
स्थानीय: नहीं
दूरस्थ: हाँ
उपलब्धता: 🔍
स्थिति: असिद्ध
EPSS Score: 🔍
EPSS Percentile: 🔍
मूल्य पूर्वानुमान: 🔍
वर्तमान मूल्य अनुमान: 🔍
| 0-Day | अनलॉक करना | अनलॉक करना | अनलॉक करना | अनलॉक करना |
|---|---|---|---|---|
| आज | अनलॉक करना | अनलॉक करना | अनलॉक करना | अनलॉक करना |
Nessus ID: 80471
Nessus नाम: Ubuntu 10.04 LTS / 12.04 LTS / 14.04 LTS / 14.10 : openssl vulnerabilities (USN-2459-1) (FREAK)
Nessus Arquivo: 🔍
Nessus जोखिम: 🔍
Nessus परिवार: 🔍
Nessus Context: 🔍
Nessus Port: 🔍
OpenVAS ID: 58866
OpenVAS नाम: RedHat Update for openssl RHSA-2015:0066-01
OpenVAS Arquivo: 🔍
OpenVAS परिवार: 🔍
Qualys ID: 🔍
Qualys नाम: 🔍
खतरे की खुफिया
रुचि: 🔍सक्रिय अभिनेता: 🔍
सक्रिय APT समूह: 🔍
प्रतिव्यवस्था
सिफारिश: अपग्रेडस्थिति: 🔍
प्रतिक्रिया समय: 🔍
0-दिवसीय समय: 🔍
उजागर समय: 🔍
अपग्रेड: OpenSSL 0.9.8zd/1.0.0p/1.0.1k
पैच: github.com
समयरेखा
14/05/2014 🔍02/11/2014 🔍
08/01/2015 🔍
08/01/2015 🔍
08/01/2015 🔍
08/01/2015 🔍
09/01/2015 🔍
12/01/2015 🔍
13/01/2015 🔍
02/03/2022 🔍
स्रोत
उत्पाद: openssl.orgसलाह: secadv_20150108.txt
शोधकर्ता: Pieter Wuille
संगठन: Blockstream
स्थिति: पुष्टि की गई
पुष्टि: 🔍
समन्वित: 🔍
CVE: CVE-2014-3570 (🔍)
GCVE (CVE): GCVE-0-2014-3570
GCVE (VulDB): GCVE-100-68521
OVAL: 🔍
X-Force: 99710 - OpenSSL Bignum unspecified, Low Risk
SecurityFocus: 71935 - OpenSSL Certificate Fingerprints CVE-2014-8275 Local Security Bypass Vulnerability
SecurityTracker: 1031513
यह भी देखें: 🔍
प्रविष्टि
बनाया गया: 09/01/2015 09:46 AMअद्यतनित: 02/03/2022 12:51 AM
परिवर्तन: 09/01/2015 09:46 AM (88), 02/05/2019 04:44 PM (3), 02/03/2022 12:51 AM (4)
पूर्ण: 🔍
Cache ID: 216::103
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.
अभी तक कोई टिप्पणी नहीं भाषाएँ: hi + ne + en.
टिप्पणी करने के लिए कृपया लॉगिन करें