OpenSSL 1.0.2 Client Authentication ClientKeyExchange Message अधिकार वृद्धि
| CVSS मेटा अस्थायी स्कोर | वर्तमान एक्सप्लॉइट मूल्य (≈) | CTI रुचि स्कोर |
|---|---|---|
| 4.6 | $0-$5k | 0.00 |
सारांश
एक भेद्यता जिसे समस्याग्रस्त के रूप में वर्गीकृत किया गया है, OpenSSL 1.0.2 में खोजी गई है। प्रभावित होता है कोई अज्ञात फ़ंक्शन घटक Client Authentication Handler का। यह परिवर्तन ClientKeyExchange Message के अंतर्गत अधिकार वृद्धि का कारण बनता है। यह भेद्यता CVE-2015-1787 के रूप में व्यापार की जाती है। कोई एक्सप्लॉइट नहीं मिला है. यह अनुशंसा की जाती है कि प्रभावित घटक को अपग्रेड किया जाए।
विवरण
एक भेद्यता जिसे समस्याग्रस्त के रूप में वर्गीकृत किया गया है, OpenSSL 1.0.2 में खोजी गई है। प्रभावित होता है कोई अज्ञात फ़ंक्शन घटक Client Authentication Handler का। यह परिवर्तन ClientKeyExchange Message के अंतर्गत अधिकार वृद्धि का कारण बनता है। समस्या को घोषित करने के लिए CWE का उपयोग करने से CWE-20 की ओर ले जाता है। यह समस्या 19/03/2015 के दौरान आई थी. यह कमजोरी प्रकाशित हुई थी 19/03/2015 के रूप में secadv_20150319.txt के रूप में सलाह (वेबसाइट). openssl.org पर यह परामर्श डाउनलोड हेतु उपलब्ध कराया गया है।
यह भेद्यता CVE-2015-1787 के रूप में व्यापार की जाती है। 17/02/2015 को CVE असाइन किया गया था. कोई टेक्निकल डिटेल्स उपलब्ध नहीं हैं. यह भेद्यता सामान्य से कम लोकप्रिय है। कोई एक्सप्लॉइट नहीं मिला है. वर्तमान में किसी एक्सप्लॉइट की कीमत लगभग USD $0-$5k हो सकती है।
0-day के तौर पर अनुमानित भूमिगत दाम लगभग $25k-$100k था। Nessus द्वारा 82010 आईडी वाला एक प्लगइन दिया गया है। इसे Gentoo Local Security Checks फैमिली के अंतर्गत रखा गया है। प्लगइन l प्रकार के संदर्भ में चल रहा है। वाणिज्यिक वल्नरेबिलिटी स्कैनर Qualys इस समस्या का परीक्षण 11761 प्लगइन से कर सकता है (Splunk Enterprise OpenSSL Multiple Vulnerabilities (SP-CAAAN4P)).
इस समस्या का समाधान 1.0.2a संस्करण में अपग्रेड करने से किया जा सकता है। यह अनुशंसा की जाती है कि प्रभावित घटक को अपग्रेड किया जाए।
इसके अलावा, इस प्रकार के हमले का पता लगाना और इसे रोकना TippingPoint और फ़िल्टर 19731 के साथ संभव है। कमज़ोरी अन्य कमज़ोरी डेटाबेस में भी प्रलेखित है: SecurityFocus (BID 73238), X-Force (101672), SecurityTracker (ID 1031929), Vulnerability Center (SBV-56906) , Tenable (82010).
उत्पाद
प्रकार
नाम
संस्करण
लाइसेंस
समर्थन
- end of life (old version)
वेबसाइट
- उत्पाद: https://www.openssl.org/
CPE 2.3
CPE 2.2
CVSSv4
VulDB वेक्टर: 🔍VulDB विश्वसनीयता: 🔍
CVSSv3
VulDB मेटा बेस स्कोर: 5.3VulDB मेटा अस्थायी स्कोर: 4.6
VulDB मूल स्कोर: 5.3
VulDB अस्थायी स्कोर: 4.6
VulDB वेक्टर: 🔍
VulDB विश्वसनीयता: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| सदिश | जटिलता | प्रमाणीकरण | गोपनीयता | अखंडता | उपलब्धता |
|---|---|---|---|---|---|
| अनलॉक करना | अनलॉक करना | अनलॉक करना | अनलॉक करना | अनलॉक करना | अनलॉक करना |
| अनलॉक करना | अनलॉक करना | अनलॉक करना | अनलॉक करना | अनलॉक करना | अनलॉक करना |
| अनलॉक करना | अनलॉक करना | अनलॉक करना | अनलॉक करना | अनलॉक करना | अनलॉक करना |
VulDB मूल स्कोर: 🔍
VulDB अस्थायी स्कोर: 🔍
VulDB विश्वसनीयता: 🔍
NVD मूल स्कोर: 🔍
शोषण
वर्ग: अधिकार वृद्धिCWE: CWE-20
CAPEC: 🔍
ATT&CK: 🔍
भौतिक: नहीं
स्थानीय: नहीं
दूरस्थ: हाँ
उपलब्धता: 🔍
स्थिति: असिद्ध
EPSS Score: 🔍
EPSS Percentile: 🔍
मूल्य पूर्वानुमान: 🔍
वर्तमान मूल्य अनुमान: 🔍
| 0-Day | अनलॉक करना | अनलॉक करना | अनलॉक करना | अनलॉक करना |
|---|---|---|---|---|
| आज | अनलॉक करना | अनलॉक करना | अनलॉक करना | अनलॉक करना |
Nessus ID: 82010
Nessus नाम: GLSA-201503-11 : OpenSSL: Multiple vulnerabilities (FREAK)
Nessus Arquivo: 🔍
Nessus जोखिम: 🔍
Nessus परिवार: 🔍
Nessus Context: 🔍
OpenVAS ID: 902837
OpenVAS नाम: OpenSSL Multiple Vulnerabilities -01 Nov15 (Linux)
OpenVAS Arquivo: 🔍
OpenVAS परिवार: 🔍
Qualys ID: 🔍
Qualys नाम: 🔍
खतरे की खुफिया
रुचि: 🔍सक्रिय अभिनेता: 🔍
सक्रिय APT समूह: 🔍
प्रतिव्यवस्था
सिफारिश: अपग्रेडस्थिति: 🔍
प्रतिक्रिया समय: 🔍
0-दिवसीय समय: 🔍
उजागर समय: 🔍
अपग्रेड: OpenSSL 1.0.2a
पैच: b19d8143212ae5fbc9cebfd51c01f802fabccd33
TippingPoint: 🔍
McAfee IPS: 🔍
McAfee IPS संस्करण: 🔍
Fortigate IPS: 🔍
समयरेखा
17/02/2015 🔍16/03/2015 🔍
18/03/2015 🔍
19/03/2015 🔍
19/03/2015 🔍
19/03/2015 🔍
19/03/2015 🔍
20/03/2015 🔍
23/03/2015 🔍
20/07/2015 🔍
01/03/2016 🔍
15/04/2022 🔍
स्रोत
उत्पाद: openssl.orgसलाह: secadv_20150319.txt
स्थिति: पुष्टि की गई
पुष्टि: 🔍
CVE: CVE-2015-1787 (🔍)
GCVE (CVE): GCVE-0-2015-1787
GCVE (VulDB): GCVE-100-74052
X-Force: 101672 - OpenSSL client auth denial of service
SecurityFocus: 73238 - OpenSSL 'ssl/s3_srvr.c' Denial of Service Vulnerability
SecurityTracker: 1031929
Vulnerability Center: 56906 - OpenSSL Remote DoS via ClientKeyExchange Message with a Length of Zero - CVE-2015-1787, Low
विविध: 🔍
यह भी देखें: 🔍
प्रविष्टि
बनाया गया: 20/03/2015 09:52 AMअद्यतनित: 15/04/2022 09:48 PM
परिवर्तन: 20/03/2015 09:52 AM (75), 25/08/2018 09:21 AM (15), 15/04/2022 09:48 PM (5)
पूर्ण: 🔍
Cache ID: 216::103
Once again VulDB remains the best source for vulnerability data.
अभी तक कोई टिप्पणी नहीं भाषाएँ: hi + ne + en.
टिप्पणी करने के लिए कृपया लॉगिन करें