Bouncy Castle Java Library do 1.50 Diffie-Hellman Key Exchange weak encryption

CVSS Wynik metatemperaturyExploit Aktualna Cena (≈)Wynik odsetkowy CTI
5.4$0-$5k0.00

Podatność, która została odkryta w Bouncy Castle Java Library do 1.50 (Software Library). Dotknięta jest nieznana funkcja w komponencie Diffie-Hellman Key Exchange. Poprzez manipulację przy użyciu nieznanych danych wejściowych można doprowadzić do wystąpienia podatności słabe szyfrowanie. Wpływa to na poufność, spójność i dostępność.

Informacja o podatności została opublikowana w dniu upubliczniona 2015-11-09 (Website). Raport na temat podatności został udostępniony pod adresem openwall.com. Podatność ta jest znana jako CVE-2015-7940. Luka jest ciężka do wykorzystania. Atak może zostać przeprowadzony zdalnie. Eksploitacja nie wymaga żadnej formy uwierzytelnienia. Ani szczegóły techniczne, ani exploit nie są publicznie dostępne.

Skaner podatności Nessus jest wyposażony w plugin ID 86740 (openSUSE Security Update : bouncycastle (openSUSE-2015-705)), który pomaga ustalić, czy dane środowisko jest podatne na atak.

Aktualizacja do wersji 1.51 eliminuje tę podatność. Potencjalne zabezpieczenie zostało opublikowane jeszcze przed po ujawnieniu podatności.

Błąd jest również udokumentowany w bazie podatności Tenable (86740).

Produktinfo

Rodzaj

Sprzedawca

Imię

Wersja

CPE 2.3info

CPE 2.2info

CVSSv4info

VulDB CVSS-B Score: 🔍
VulDB CVSS-BT Score: 🔍
VulDB Wektor: 🔍
VulDB Niezawodność: 🔍

CVSSv3info

VulDB Wynik metabazy: 5.6
VulDB Wynik metatemperatury: 5.4

VulDB Wynik podstawowy: 5.6
VulDB Wynik tymczasowy: 5.4
VulDB Wektor: 🔍
VulDB Niezawodność: 🔍

CVSSv2info

AVACAuCIA
💳💳💳💳💳💳
💳💳💳💳💳💳
💳💳💳💳💳💳
WektorMożliwość wykorzystaniaUwierzytelnianiePoufnośćIntegralnośćDostępność
odblokowaćodblokowaćodblokowaćodblokowaćodblokowaćodblokować
odblokowaćodblokowaćodblokowaćodblokowaćodblokowaćodblokować
odblokowaćodblokowaćodblokowaćodblokowaćodblokowaćodblokować

VulDB Wynik podstawowy: 🔍
VulDB Wynik tymczasowy: 🔍
VulDB Niezawodność: 🔍

NVD Wynik podstawowy: 🔍

Exploitinfo

Klasa: Słabe szyfrowanie
CWE: CWE-310
ATT&CK: T1600

Lokalny: Nie
Zdalny: Tak

Dostępność: 🔍
Status: Nie określono

EPSS Score: 🔍
EPSS Percentile: 🔍

Przewidywanie ceny: 🔍
Aktualny szacunek cena: 🔍

0-Dayodblokowaćodblokowaćodblokowaćodblokować
Dzisiajodblokowaćodblokowaćodblokowaćodblokować

Nessus ID: 86740
Nessus Imię: openSUSE Security Update : bouncycastle (openSUSE-2015-705)
Nessus Plik: 🔍
Nessus Ryzyko: 🔍
Nessus Family: 🔍
Nessus Context: 🔍

OpenVAS ID: 703417
OpenVAS Imię: Debian Security Advisory DSA 3417-1 (bouncycastle - security update)
OpenVAS Plik: 🔍
OpenVAS Family: 🔍

Qualys ID: 🔍
Qualys Imię: 🔍

Inteligencja Zagrożeńinfo

Wysiłek: 🔍
Aktywni aktorzy: 🔍
Aktywne grupy APT: 🔍

Przeciwdziałanieinfo

Zalecane: Upgrade
Status: 🔍

0-dniowy czas: 🔍

Upgrade: Java Library 1.51

Oś czasuinfo

2015-10-22 🔍
2015-10-23 +1 dni 🔍
2015-11-05 +13 dni 🔍
2015-11-05 +0 dni 🔍
2015-11-09 +4 dni 🔍
2015-11-09 +0 dni 🔍
2015-11-09 +0 dni 🔍
2015-11-10 +1 dni 🔍
2015-11-24 +14 dni 🔍
2022-06-26 +2406 dni 🔍

Źródłainfo

Raport: RHSA-2016:2035
Status: Nie określono
Potwierdzenie: 🔍

CVE: CVE-2015-7940 (🔍)
OVAL: 🔍

SecurityTracker: 1037036
Vulnerability Center: 54590 - Bouncy Castle Java Library Remote Weak Encryption via a Series of Crafted Elliptic Curve Diffie Hellman Key Exchanges, Medium
SecurityFocus: 79091 - Bouncy Castle CVE-2015-7940 Information Disclosure Vulnerability

Zobacz także: 🔍

Wpisinfo

Stworzono: 2015-11-10 09:55
Aktualizacje: 2022-06-26 13:37
Zmiany: 2015-11-10 09:55 (64), 2018-04-20 09:11 (13), 2022-06-26 13:37 (4)
Kompletny: 🔍

Dyskusja

Brak komentarzy. Języki: pl + en.

Zaloguj się, aby skomentować.

Do you know our Splunk app?

Download it now for free!