OpenSSL 1.0.2 ClientHello Handshake सेवा अस्वीकार

CVSS मेटा अस्थायी स्कोरवर्तमान एक्सप्लॉइट मूल्य (≈)CTI रुचि स्कोर
6.5$0-$5k0.00

सारांशजानकारी

एक कमजोरि जिसे समस्याग्रस्त के रूप में वर्गीकृत किया गया है, OpenSSL 1.0.2 में पाई गई है। प्रभावित किया गया है एक अज्ञात फ़ंक्शन घटक ClientHello Handshake का। इसमें शामिल है, जिससे सेवा अस्वीकार उत्पन्न होती है। इस भेद्यता को CVE-2015-0291 के रूप में ट्रेड किया जाता है। कोई शोषण उपलब्ध नहीं है. यह अनुशंसा की जाती है कि प्रभावित घटक को अपग्रेड किया जाए।

विवरणजानकारी

एक कमजोरि जिसे समस्याग्रस्त के रूप में वर्गीकृत किया गया है, OpenSSL 1.0.2 में पाई गई है। प्रभावित किया गया है एक अज्ञात फ़ंक्शन घटक ClientHello Handshake का। इसमें शामिल है, जिससे सेवा अस्वीकार उत्पन्न होती है। CWE का उपयोग करके समस्या को घोषित करने से CWE-476 प्राप्त होता है। यह समस्या 19/03/2015 के दौरान आई थी. कमजोरी प्रकाशित की गई थी 19/03/2015 के रूप में secadv_20150319.txt के रूप में सलाह (वेबसाइट). एडवाइजरी को openssl.org पर डाउनलोड के लिए उपलब्ध कराया गया है।

इस भेद्यता को CVE-2015-0291 के रूप में ट्रेड किया जाता है। 18/11/2014 पर CVE आवंटित किया गया था. कोई टेक्निकल जानकारी उपलब्ध नहीं है. यह भेद्यता सामान्य से कम लोकप्रिय है। कोई शोषण उपलब्ध नहीं है. फिलहाल एक्सप्लॉइट की कीमत might be approx. USD $0-$5k है।

0-डे के रूप में इसका अनुमानित अंडरग्राउंड मूल्य लगभग $5k-$25k था. वल्नरेबिलिटी स्कैनर Nessus ID 82010 वाला एक प्लगइन प्रदान करता है (GLSA-201503-11 : OpenSSL: Multiple vulnerabilities (FREAK)), जो लक्ष्य वातावरण में खामी की उपस्थिति का पता लगाने में मदद करता है। इसे Gentoo Local Security Checks परिवार में असाइन किया गया है। प्लगइन l टाइप के कॉन्टेक्स्ट में रन हो रहा है। वाणिज्यिक वल्नरेबिलिटी स्कैनर Qualys इस समस्या का परीक्षण 11761 प्लगइन से कर सकता है (Splunk Enterprise OpenSSL Multiple Vulnerabilities (SP-CAAAN4P)).

यदि आप 1.0.2a संस्करण में अपग्रेड करते हैं, तो यह समस्या हल हो सकती है। यह अनुशंसा की जाती है कि प्रभावित घटक को अपग्रेड किया जाए।

इसके अलावा, इस प्रकार के हमले का पता लगाना और इसे रोकना TippingPoint और फ़िल्टर 19782 के साथ संभव है। कमजोरी अन्य कमजोरी डेटाबेस में भी प्रलेखित है: SecurityFocus (BID 73196), X-Force (101663), SecurityTracker (ID 1031929), Vulnerability Center (SBV-56903) , Tenable (82010).

उत्पादजानकारी

प्रकार

नाम

संस्करण

लाइसेंस

समर्थन

  • end of life (old version)

वेबसाइट

CPE 2.3जानकारी

CPE 2.2जानकारी

CVSSv4जानकारी

VulDB वेक्टर: 🔍
VulDB विश्वसनीयता: 🔍

CVSSv3जानकारी

VulDB मेटा बेस स्कोर: 7.5
VulDB मेटा अस्थायी स्कोर: 6.5

VulDB मूल स्कोर: 7.5
VulDB अस्थायी स्कोर: 6.5
VulDB वेक्टर: 🔍
VulDB विश्वसनीयता: 🔍

CVSSv2जानकारी

AVACAuCIA
💳💳💳💳💳💳
💳💳💳💳💳💳
💳💳💳💳💳💳
सदिशजटिलताप्रमाणीकरणगोपनीयताअखंडताउपलब्धता
अनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करना
अनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करना
अनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करना

VulDB मूल स्कोर: 🔍
VulDB अस्थायी स्कोर: 🔍
VulDB विश्वसनीयता: 🔍

NVD मूल स्कोर: 🔍

शोषणजानकारी

वर्ग: सेवा अस्वीकार
CWE: CWE-476 / CWE-404
CAPEC: 🔍
ATT&CK: 🔍

भौतिक: नहीं
स्थानीय: नहीं
दूरस्थ: हाँ

उपलब्धता: 🔍
स्थिति: असिद्ध

EPSS Score: 🔍
EPSS Percentile: 🔍

मूल्य पूर्वानुमान: 🔍
वर्तमान मूल्य अनुमान: 🔍

0-Dayअनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करना
आजअनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करना

Nessus ID: 82010
Nessus नाम: GLSA-201503-11 : OpenSSL: Multiple vulnerabilities (FREAK)
Nessus Arquivo: 🔍
Nessus जोखिम: 🔍
Nessus परिवार: 🔍
Nessus Context: 🔍

OpenVAS ID: 902837
OpenVAS नाम: OpenSSL Multiple Vulnerabilities -01 Nov15 (Linux)
OpenVAS Arquivo: 🔍
OpenVAS परिवार: 🔍

Qualys ID: 🔍
Qualys नाम: 🔍

खतरे की खुफियाजानकारी

रुचि: 🔍
सक्रिय अभिनेता: 🔍
सक्रिय APT समूह: 🔍

प्रतिव्यवस्थाजानकारी

सिफारिश: अपग्रेड
स्थिति: 🔍

प्रतिक्रिया समय: 🔍
0-दिवसीय समय: 🔍
उजागर समय: 🔍

अपग्रेड: OpenSSL 1.0.2a
पैच: 76343947ada960b6269090638f5391068daee88d
TippingPoint: 🔍

McAfee IPS: 🔍
McAfee IPS संस्करण: 🔍

Fortigate IPS: 🔍

समयरेखाजानकारी

18/11/2014 🔍
16/03/2015 +118 दिन 🔍
19/03/2015 +3 दिन 🔍
19/03/2015 +0 दिन 🔍
19/03/2015 +0 दिन 🔍
19/03/2015 +0 दिन 🔍
20/03/2015 +1 दिन 🔍
23/03/2015 +3 दिन 🔍
20/07/2015 +118 दिन 🔍
01/03/2016 +226 दिन 🔍
15/04/2022 +2235 दिन 🔍

स्रोतजानकारी

उत्पाद: openssl.org

सलाह: secadv_20150319.txt
स्थिति: पुष्टि की गई
पुष्टि: 🔍

CVE: CVE-2015-0291 (🔍)
GCVE (CVE): GCVE-0-2015-0291
GCVE (VulDB): GCVE-100-74043
X-Force: 101663 - OpenSSL ClientHello denial of service
SecurityFocus: 73196
SecurityTracker: 1031929
Vulnerability Center: 56903 - OpenSSL 1.0.2 Remote DoS via Invalid \x27signature_algorithms\x27 Extension - CVE-2015-0291, Medium

विविध: 🔍
यह भी देखें: 🔍

प्रविष्टिजानकारी

बनाया गया: 20/03/2015 09:49 AM
अद्यतनित: 15/04/2022 08:22 PM
परिवर्तन: 20/03/2015 09:49 AM (73), 25/08/2018 09:20 AM (13), 15/04/2022 08:22 PM (5)
पूर्ण: 🔍
Cache ID: 216::103

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

चर्चा

अभी तक कोई टिप्पणी नहीं भाषाएँ: hi + ne + en.

टिप्पणी करने के लिए कृपया लॉगिन करें

Want to know what is going to be exploited?

We predict KEV entries!