OpenSSL 1.0.1e-25.el7 पर Red Hat Lock Mechanism ssleay_rand_bytes रेस कंडीशन

CVSS मेटा अस्थायी स्कोरवर्तमान एक्सप्लॉइट मूल्य (≈)CTI रुचि स्कोर
4.6$0-$5k0.00

सारांशजानकारी

एक कमजोरि जिसे समस्याग्रस्त के रूप में वर्गीकृत किया गया है, OpenSSL 1.0.1e-25.el7 पर Red Hat में पाई गई है। प्रभावित है फ़ंक्शन ssleay_rand_bytes घटक Lock Mechanism की। इसमें शामिल है, जिससे रेस कंडीशन उत्पन्न होती है। इस भेद्यता को CVE-2015-3216 आईडी के तहत ट्रैक किया जाता है। कोई शोषण मौजूद नहीं है. इस समस्या को ठीक करने के लिए पैच लगाने की सिफारिश की जाती है।

विवरणजानकारी

एक कमजोरि जिसे समस्याग्रस्त के रूप में वर्गीकृत किया गया है, OpenSSL 1.0.1e-25.el7 पर Red Hat में पाई गई है। प्रभावित है फ़ंक्शन ssleay_rand_bytes घटक Lock Mechanism की। इसमें शामिल है, जिससे रेस कंडीशन उत्पन्न होती है। CWE का उपयोग करके समस्या को घोषित करने से CWE-362 प्राप्त होता है। यह समस्या 11/02/2013 के दौरान आई थी. कमजोरी प्रकाशित की गई थी 15/06/2015 द्वारा Johannes Bauer के रूप में RHSA-2015-1115 के रूप में सलाह (वेबसाइट). एडवाइजरी को rhn.redhat.com पर डाउनलोड के लिए उपलब्ध कराया गया है।

इस भेद्यता को CVE-2015-3216 आईडी के तहत ट्रैक किया जाता है। CVE आवंटन 10/04/2015 को हुआ था. तकनीकी जानकारी उपलब्ध है. यह भेद्यता सामान्य से कम लोकप्रिय है। कोई शोषण मौजूद नहीं है. अब के लिए एक्सप्लॉइट की कीमत अनुमानतः USD $0-$5k हो सकती है। एडवाइजरी इंगित करती है:

A flaw was found in the way the OpenSSL packages shipped with Red Hat Enterprise Linux 6 and 7 performed locking in the ssleay_rand_bytes() function. This issue could possibly cause a multi-threaded application using OpenSSL to perform an out-of-bounds read and crash.

इस भेद्यता को कम से कम 854 दिनों तक गैर-सार्वजनिक ज़ीरो-डे एक्सप्लॉइट के रूप में संभाला गया। 0-day के समय अनुमानित अंडरग्राउंड मूल्य लगभग $5k-$25k था। वल्नरेबिलिटी स्कैनर Nessus ID 84203 वाला एक प्लगइन प्रदान करता है (OracleVM 3.3 : openssl (OVMSA-2015-0070)), जो लक्ष्य वातावरण में खामी की उपस्थिति का पता लगाने में मदद करता है। इसे OracleVM Local Security Checks परिवार में असाइन किया गया है। वाणिज्यिक वल्नरेबिलिटी स्कैनर Qualys इस समस्या का परीक्षण 350152 प्लगइन से कर सकता है (Amazon Linux Security Advisory for openssl: ALAS-2015-550).

इस समस्या को ठीक करने के लिए पैच लगाने की सिफारिश की जाती है।

कमजोरी अन्य कमजोरी डेटाबेस में भी प्रलेखित है: SecurityFocus (BID 75219), X-Force (103915), SecurityTracker (ID 1032587), Vulnerability Center (SBV-51031) , Tenable (84203).

प्रभावित

  • Red Hat Enterprise Linux 6/7

उत्पादजानकारी

प्रकार

नाम

संस्करण

लाइसेंस

समर्थन

  • end of life (old version)

वेबसाइट

CPE 2.3जानकारी

CPE 2.2जानकारी

CVSSv4जानकारी

VulDB वेक्टर: 🔍
VulDB विश्वसनीयता: 🔍

CVSSv3जानकारी

VulDB मेटा बेस स्कोर: 5.3
VulDB मेटा अस्थायी स्कोर: 4.6

VulDB मूल स्कोर: 5.3
VulDB अस्थायी स्कोर: 4.6
VulDB वेक्टर: 🔍
VulDB विश्वसनीयता: 🔍

CVSSv2जानकारी

AVACAuCIA
💳💳💳💳💳💳
💳💳💳💳💳💳
💳💳💳💳💳💳
सदिशजटिलताप्रमाणीकरणगोपनीयताअखंडताउपलब्धता
अनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करना
अनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करना
अनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करना

VulDB मूल स्कोर: 🔍
VulDB अस्थायी स्कोर: 🔍
VulDB विश्वसनीयता: 🔍

NVD मूल स्कोर: 🔍

शोषणजानकारी

वर्ग: रेस कंडीशन
CWE: CWE-362
CAPEC: 🔍
ATT&CK: 🔍

भौतिक: नहीं
स्थानीय: नहीं
दूरस्थ: हाँ

उपलब्धता: 🔍
स्थिति: असिद्ध

EPSS Score: 🔍
EPSS Percentile: 🔍

मूल्य पूर्वानुमान: 🔍
वर्तमान मूल्य अनुमान: 🔍

0-Dayअनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करना
आजअनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करना

Nessus ID: 84203
Nessus नाम: OracleVM 3.3 : openssl (OVMSA-2015-0070)
Nessus Arquivo: 🔍
Nessus जोखिम: 🔍
Nessus परिवार: 🔍

OpenVAS ID: 10462
OpenVAS नाम: RedHat Update for openssl RHSA-2015:1115-01
OpenVAS Arquivo: 🔍
OpenVAS परिवार: 🔍

Qualys ID: 🔍
Qualys नाम: 🔍

खतरे की खुफियाजानकारी

रुचि: 🔍
सक्रिय अभिनेता: 🔍
सक्रिय APT समूह: 🔍

प्रतिव्यवस्थाजानकारी

सिफारिश: पैच
स्थिति: 🔍

0-दिवसीय समय: 🔍

समयरेखाजानकारी

11/02/2013 🔍
10/04/2015 +788 दिन 🔍
28/05/2015 +48 दिन 🔍
28/05/2015 +0 दिन 🔍
15/06/2015 +18 दिन 🔍
16/06/2015 +1 दिन 🔍
17/06/2015 +1 दिन 🔍
07/07/2015 +20 दिन 🔍
08/07/2015 +1 दिन 🔍
21/05/2022 +2509 दिन 🔍

स्रोतजानकारी

उत्पाद: openssl.org

सलाह: RHSA-2015-1115
शोधकर्ता: Johannes Bauer
स्थिति: पुष्टि की गई
पुष्टि: 🔍

CVE: CVE-2015-3216 (🔍)
GCVE (CVE): GCVE-0-2015-3216
GCVE (VulDB): GCVE-100-75951

OVAL: 🔍

X-Force: 103915 - OpenSSL shipped with Red Hat Enterprise Linux ssleay_rand_bytes() denial of service
SecurityFocus: 75219 - OpenSSL 'ssleay_rand_bytes()' Function Denial of Service Vulnerability
SecurityTracker: 1032587 - Red Hat OpenSSL Locking Error in ssleay_rand_bytes() Lets Remote Users Deny Service
Vulnerability Center: 51031 - OpenSSL Remote DoS due to Many TLS Sessions in the Ssleay_Rand_Bytes Function (), Medium

यह भी देखें: 🔍

प्रविष्टिजानकारी

बनाया गया: 17/06/2015 09:11 AM
अद्यतनित: 21/05/2022 08:47 AM
परिवर्तन: 17/06/2015 09:11 AM (74), 16/09/2017 10:25 AM (13), 21/05/2022 08:42 AM (3), 21/05/2022 08:47 AM (1)
पूर्ण: 🔍
Cache ID: 216::103

Be aware that VulDB is the high quality source for vulnerability data.

चर्चा

अभी तक कोई टिप्पणी नहीं भाषाएँ: hi + ne + en.

टिप्पणी करने के लिए कृपया लॉगिन करें

Do you need the next level of professionalism?

Upgrade your account now!