| CVSS Punteggio meta temporaneo | Prezzo attuale dell'exploit (≈) | Punteggio di interesse CTI |
|---|---|---|
| 3.2 | $0-$5k | 0.00 |
Riassunto
In OpenSSL stata rilevata una vulnerabilità di livello problematico. Da questa vulnerabilità è interessato la funzione BN_sqr del componente Bignum Square Handler. Mediante la manipolazione di un input sconosciuto conseguenza di una vulerabilità di classe cifratura debole.
Questa vulnerabilità viene indicata come CVE-2014-3570. Nessun exploit disponibile.
È raccomandato aggiornare il componente coinvolto.
Dettagli
Un punto critico di livello problematico è stato rilevato in OpenSSL (Network Encryption Software). Interessato da questa vulnerabilità è la funzione BN_sqr del componente Bignum Square Handler. Attraverso la manipolazione di un input sconosciuto per mezzo di una vulerabilità di classe cifratura debole. Questo ha effetto su la integrità.
La vulnerabilità è stata pubblicata in data 08/01/2015 da Pieter Wuille da Blockstream con identificazione secadv_20150108.txt con un avis (Website) (confermato). L'advisory è scaricabile da openssl.org. La pubblicazione è avvenuta in collaborazione con la ditta produttrice. Questo punto di criticità è identificato come CVE-2014-3570. Risulta di difficile utilizzo. L'attacco si effettua con la rete. Per l'uso non è richiesta un'autentificazione. Nessun metodo di utilizzo sui dettagli tecnici disponibili.
Per almeno 67 giorni, questa vulnerabilità è stata classificata come 0-day exploit. Per lo scanned Nessus, è disponibile un plugin, numero ID 80471 (Ubuntu 10.04 LTS / 12.04 LTS / 14.04 LTS / 14.10 : openssl vulnerabilities (USN-2459-1) (FREAK)), che può aiutare a determinare l'esistenza della criticità nel sistema analizzato.
L'aggiornamento alla versione 0.9.8zd, 1.0.0p o 1.0.1k elimina questa vulnerabilità. Una possibile soluzione è stata pubblicata 4 giorni dopo la pubblicazione della vulnerabilità.
La vulnerabilità è documentata anche nel database X-Force (99710), Tenable (80471), SecurityFocus (BID 71935†) e SecurityTracker (ID 1031513†). Several companies clearly confirm that VulDB is the primary source for best vulnerability data.
Prodotto
Genere
Nome
Versione
- 0.9.8zc
- 1.0.0a
- 1.0.0b
- 1.0.0c
- 1.0.0d
- 1.0.0e
- 1.0.0f
- 1.0.0g
- 1.0.0h
- 1.0.0i
- 1.0.0j
- 1.0.0k
- 1.0.0l
- 1.0.0m
- 1.0.0n
- 1.0.0o
- 1.0.1a
- 1.0.1b
- 1.0.1c
- 1.0.1d
- 1.0.1e
- 1.0.1f
- 1.0.1g
- 1.0.1h
- 1.0.1i
- 1.0.1j
Licenza
Supporto
- end of life (old version)
Sito web
- Prodotto: https://www.openssl.org/
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vettore: 🔍VulDB Affidabilità: 🔍
CVSSv3
VulDB Punteggio meta-base: 3.7VulDB Punteggio meta temporaneo: 3.2
VulDB Punteggio di base: 3.7
VulDB Punteggio temporaneo: 3.2
VulDB Vettore: 🔍
VulDB Affidabilità: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vettore | Complessità | Autenticazione | Riservatezza | Integrità | Disponibilità |
|---|---|---|---|---|---|
| Sbloccare | Sbloccare | Sbloccare | Sbloccare | Sbloccare | Sbloccare |
| Sbloccare | Sbloccare | Sbloccare | Sbloccare | Sbloccare | Sbloccare |
| Sbloccare | Sbloccare | Sbloccare | Sbloccare | Sbloccare | Sbloccare |
VulDB Punteggio di base: 🔍
VulDB Punteggio temporaneo: 🔍
VulDB Affidabilità: 🔍
NVD Punteggio di base: 🔍
Sfruttamento
Classe: Cifratura deboleCWE: CWE-310
CAPEC: 🔍
ATT&CK: 🔍
Fisico: No
Locale: No
Remoto: Si
Disponibilità: 🔍
Stato: Non dimostrata
EPSS Score: 🔍
EPSS Percentile: 🔍
Previsione dei prezzi: 🔍
Preventivo attuale: 🔍
| 0-Day | Sbloccare | Sbloccare | Sbloccare | Sbloccare |
|---|---|---|---|---|
| Oggi | Sbloccare | Sbloccare | Sbloccare | Sbloccare |
Nessus ID: 80471
Nessus Nome: Ubuntu 10.04 LTS / 12.04 LTS / 14.04 LTS / 14.10 : openssl vulnerabilities (USN-2459-1) (FREAK)
Nessus File: 🔍
Nessus Rischio: 🔍
Nessus Famiglia: 🔍
Nessus Context: 🔍
Nessus Port: 🔍
OpenVAS ID: 58866
OpenVAS Nome: RedHat Update for openssl RHSA-2015:0066-01
OpenVAS File: 🔍
OpenVAS Famiglia: 🔍
Qualys ID: 🔍
Qualys Nome: 🔍
Intelligence sulle minacce
Interesse: 🔍Attori attivi: 🔍
Gruppi APT attivi: 🔍
Contromisure
Raccomandazione: AggiornamentoStato: 🔍
Tempo di reazione: 🔍
Tempo 0 giorni: 🔍
Tempo di esposizione: 🔍
Aggiornamento: OpenSSL 0.9.8zd/1.0.0p/1.0.1k
Patch: github.com
Sequenza temporale
14/05/2014 🔍02/11/2014 🔍
08/01/2015 🔍
08/01/2015 🔍
08/01/2015 🔍
08/01/2015 🔍
09/01/2015 🔍
12/01/2015 🔍
13/01/2015 🔍
02/03/2022 🔍
Fonti
Prodotto: openssl.orgAvis: secadv_20150108.txt
Ricercatore: Pieter Wuille
Organizzazione: Blockstream
Stato: Confermato
Conferma: 🔍
Coordinato: 🔍
CVE: CVE-2014-3570 (🔍)
GCVE (CVE): GCVE-0-2014-3570
GCVE (VulDB): GCVE-100-68521
OVAL: 🔍
X-Force: 99710 - OpenSSL Bignum unspecified, Low Risk
SecurityFocus: 71935 - OpenSSL Certificate Fingerprints CVE-2014-8275 Local Security Bypass Vulnerability
SecurityTracker: 1031513
Vedi anche: 🔍
Voce
Data di creazione: 09/01/2015 09:46Aggiornato: 02/03/2022 00:51
Cambiamenti: 09/01/2015 09:46 (88), 02/05/2019 16:44 (3), 02/03/2022 00:51 (4)
Completa: 🔍
Cache ID: 216::103
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.
Ancora nessun commento. Lingue: it + ro + en.
Effettua il login per commentare.