OpenSSL 1.0.1/1.0.2/1.1.0 64-bit Block Cipher SWEET32 rivelazione di un 'informazione

voceeditHistoryDiffjsonxmlCTI
CVSS Meta Temp Score
Exploit Prezzo Attuale (≈)
CTI Interest Score
5.3$5k-$25k0.05

Una vulnerabilità di livello critico è stata rilevata in OpenSSL 1.0.1/1.0.2/1.1.0 (Network Encryption Software). É interessato una funzione sconosciuta del componente 64-bit Block Cipher. Attraverso l'influenza di un input sconosciuto se causa una vulnerabilità di classe rivelazione di un 'informazione. Gli effetti sono noti per riservatezza, integrità e disponibilità.

La vulnerabilità è stata pubblicata in data 24/08/2016 con identificazione SWEET32 con un blog post (Website) (confermato). L'advisory è scaricabile da openssl.org. La pubblicazione non è stata eseguita con il produttore. Questa vulnerabilità è identificata come CVE-2016-2183. La vulnerabilità è relativamente apprezzata, anche se ha un'alta complessità. Dalla rete può partire l'attacco. L'utilizzo non richiede alcuna forma di autentificazione. Non sono conosciuti dettagli tecnici ma un pubblico metodo di utilizzo è disponibile.

È stato dichiarato come proof-of-concept. È disponibile un plugin per lo scanner Nessus, numero ID 95255 (AIX OpenSSL Advisory : openssl_advisory21.asc (SWEET32)), che può aiutare a determinare l'esistenza della criticità nel sistema analizzato.

Informazioni riguardo una possibile contromisura non sono al momento disponibili. Si suggerisce di sostituire il prodotto con uno equivalente.

La vulnerabilità è documentata anche nel database SecurityFocus (BID 92630), SecurityTracker (ID 1036696) e Tenable (95255).

Componente colpitoedit

  • HPE Business Service Management

Prodottoinfoedit

genere

Name

CPE 2.3infoedit

CPE 2.2infoedit

CVSSv3infoedit

VulDB Meta Base Score: 5.6
VulDB Meta Temp Score: 5.3

VulDB Base Score: 5.6
VulDB Temp Score: 5.3
VulDB Vector: 🔍
VulDB Affidabilità: 🔍

CVSSv2infoedit

AVACAuCIA
🔍🔍🔍🔍🔍🔍
🔍🔍🔍🔍🔍🔍
🔍🔍🔍🔍🔍🔍
VectorComplexityAuthenticationConfidentialityIntegrityAvailability
unlockunlockunlockunlockunlockunlock
unlockunlockunlockunlockunlockunlock
unlockunlockunlockunlockunlockunlock

VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Affidabilità: 🔍

NVD Base Score: 🔍

Exploitinginfoedit

Name: SWEET32
Classe: Rivelazione di un 'informazione / SWEET32
CWE: CWE-200
ATT&CK: Sconosciuto

Locale: No
Remoto: Si

Disponibilità: 🔍
Accesso: Pubblico
Status: Proof-of-Concept

Previsione dei prezzi: 🔍
Preventivo attuale: 🔍

0-Dayunlockunlockunlockunlock
Oggiunlockunlockunlockunlock

Nessus ID: 95255
Nessus Name: AIX OpenSSL Advisory : openssl_advisory21.asc (SWEET32)
Nessus File: 🔍
Nessus Family: 🔍

OpenVAS ID: 59958
OpenVAS Name: RedHat Update for openssl RHSA-2016:1940-01
OpenVAS File: 🔍
OpenVAS Family: 🔍

Qualys ID: 🔍
Qualys Name: 🔍

Threat Intelligenceinfoedit

Minaccia: 🔍
Avversari: 🔍
Geopolitica: 🔍
Economia: 🔍
Predizioni: 🔍
Contromisure: 🔍

Contromisureinfoedit

Raccomandazione: nessuna contromisura conosciuta
Status: 🔍

0-Day Time: 🔍

Sequenza temporaleinfoedit

24/08/2016 🔍
25/08/2016 +1 giorni 🔍
26/08/2016 +1 giorni 🔍
31/08/2016 +5 giorni 🔍
20/02/2017 +173 giorni 🔍

Fontiinfoedit

Prodotto: https://www.openssl.org/

Advisory: SWEET32
Status: Confermato

CVE: CVE-2016-2183 (🔍)
SecurityFocus: 92630
SecurityTracker: 1036696 - OpenSSL 3DES Cipher Block Collision Weakness Lets Remote Users Decrypt Data in Certain Cases

scip Labs: https://www.scip.ch/en/?labs.20161013
Varie: 🔍
Vedi anche: 🔍

Voceinfoedit

Data di creazione: 25/08/2016 14:36
Aggiornamenti: 20/02/2017 08:12
I cambiamenti: (22) software_type vulnerability_cwe vulnerability_cvss2_nvd_av vulnerability_cvss2_nvd_ac vulnerability_cvss2_nvd_au vulnerability_cvss2_nvd_ci vulnerability_cvss2_nvd_ii vulnerability_cvss2_nvd_ai source_cve_nvd_published source_securityfocus source_sectracker_date source_sectracker_title source_sectracker_cause source_nessus_name source_nessus_filename source_nessus_family source_openvas_id source_openvas_filename source_openvas_title source_openvas_family source_qualys_id source_qualys_title
Completa: 🔍

Commenti

Ancora nessun commento. Effettua il login per commentare.

Want to stay up to date on a daily basis?

Enable the mail alert feature now!