| CVSS Wynik metatemperatury | Exploit Aktualna Cena (≈) | Wynik odsetkowy CTI |
|---|---|---|
| 6.5 | $0-$5k | 0.00 |
W OpenSSL do 1.1.0g (Network Encryption Software) została odkryta podatność. Problemem dotknięta jest funkcja CRYPTO_memcmp w komponencie PA-RISC. Dzięki manipulacji przy użyciu nieznanych danych wejściowych można doprowadzić do wystąpienia podatności przekroczenie uprawnień. Ma to wpływ na poufność, spójność i dostępność.
Błąd został odkryty w dniu 2018-03-27. Informacja o podatności została opublikowana w dniu 2018-03-27 w formie potwierdzone git commit (GIT Repository). Raport na temat podatności został udostępniony pod adresem git.openssl.org. Podatność ta posiada unikalny identyfikator CVE-2018-0733. Luka jest stosunkowo popularna, a to pomimo jej wysokiej złożoności. Możliwe jest zdalne przeprowadzenie ataku. Nie potrzeba żadnej formy uwierzytelnienia w celu eksploitacji. Szczegóły techniczne są znane, ale brak dostępnego exploita.
Skaner podatności Nessus jest wyposażony w plugin ID 108775 (Fedora 26 : 1:openssl (2018-40dc8b8b16)), który pomaga ustalić, czy dane środowisko jest podatne na atak.
Aktualizacja do wersji 1.1.0h eliminuje tę podatność. Zastosowanie poprawka eliminuje problem. Poprawka jet dostępna pod adresem git.openssl.org. Sugeruje się, że najlepszym zabezpieczeniem jest aktualizacja do najnowszej wersji. Potencjalne zabezpieczenie zostało opublikowane 5 dni po ujawnieniu podatności.
Błąd jest również udokumentowany w bazie podatności Tenable (108775).
Produkt
Rodzaj
Imię
Wersja
Licencja
Wsparcie
- end of life (old version)
CPE 2.3
CPE 2.2
CVSSv4
VulDB CVSS-B Score: 🔍VulDB CVSS-BT Score: 🔍
VulDB Wektor: 🔍
VulDB Niezawodność: 🔍
CVSSv3
VulDB Wynik metabazy: 6.6VulDB Wynik metatemperatury: 6.5
VulDB Wynik podstawowy: 7.3
VulDB Wynik tymczasowy: 7.0
VulDB Wektor: 🔍
VulDB Niezawodność: 🔍
NVD Wynik podstawowy: 5.9
NVD Wektor: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Wektor | Możliwość wykorzystania | Uwierzytelnianie | Poufność | Integralność | Dostępność |
|---|---|---|---|---|---|
| odblokować | odblokować | odblokować | odblokować | odblokować | odblokować |
| odblokować | odblokować | odblokować | odblokować | odblokować | odblokować |
| odblokować | odblokować | odblokować | odblokować | odblokować | odblokować |
VulDB Wynik podstawowy: 🔍
VulDB Wynik tymczasowy: 🔍
VulDB Niezawodność: 🔍
NVD Wynik podstawowy: 🔍
Exploit
Klasa: Przekroczenie uprawnieńCWE: CWE-20
CAPEC: 🔍
ATT&CK: 🔍
Lokalny: Nie
Zdalny: Tak
Dostępność: 🔍
Status: Nie określono
EPSS Score: 🔍
EPSS Percentile: 🔍
Przewidywanie ceny: 🔍
Aktualny szacunek cena: 🔍
| 0-Day | odblokować | odblokować | odblokować | odblokować |
|---|---|---|---|---|
| Dzisiaj | odblokować | odblokować | odblokować | odblokować |
Nessus ID: 108775
Nessus Imię: Fedora 26 : 1:openssl (2018-40dc8b8b16)
Nessus Plik: 🔍
Nessus Ryzyko: 🔍
Nessus Family: 🔍
Nessus Context: 🔍
OpenVAS ID: 55734
OpenVAS Imię: Fedora Update for openssl FEDORA-2018-40dc8b8b16
OpenVAS Plik: 🔍
OpenVAS Family: 🔍
Qualys ID: 🔍
Qualys Imię: 🔍
Inteligencja Zagrożeń
Wysiłek: 🔍Aktywni aktorzy: 🔍
Aktywne grupy APT: 🔍
Przeciwdziałanie
Zalecane: UpgradeStatus: 🔍
Czas reakcji: 🔍
0-dniowy czas: 🔍
Czas ekspozycji: 🔍
Upgrade: OpenSSL 1.1.0h
Poprawka: 56d5a4bfcaf37fa420aef2bb881aa55e61cf5f2f
Oś czasu
2017-11-30 🔍2018-03-27 🔍
2018-03-27 🔍
2018-03-27 🔍
2018-03-27 🔍
2018-03-28 🔍
2018-04-01 🔍
2018-04-02 🔍
2023-02-24 🔍
Źródła
Produkt: openssl.orgRaport: FEDORA-2018-40dc8b8b16
Badacz: Peter Waltenberg
Status: Potwierdzone
Potwierdzenie: 🔍
CVE: CVE-2018-0733 (🔍)
SecurityTracker: 1040576
SecurityFocus: 103517 - OpenSSL CVE-2018-0733 Security Bypass Vulnerability
Zobacz także: 🔍
Wpis
Stworzono: 2018-03-28 10:32Aktualizacje: 2023-02-24 12:13
Zmiany: 2018-03-28 10:32 (80), 2020-01-17 09:35 (5), 2021-02-06 09:58 (3), 2021-02-06 10:01 (1), 2023-02-24 12:05 (3), 2023-02-24 12:13 (1)
Kompletny: 🔍
Brak komentarzy. Języki: pl + en.
Zaloguj się, aby skomentować.