OpenSSL 1.0.1/1.0.2 SRP Server denial of service

wpiseditHistoryDiffjsonxmlCTI
CVSS Meta Temp Score
Exploit Aktualna Cena (≈)
CTI Interest Score
7.5$0-$5k0.00

Odkryto lukę w OpenSSL 1.0.1/1.0.2 (Network Encryption Software). Problemem dotknięta jest nieznana funkcja w komponencie SRP Server. Poprzez manipulowanie przy użyciu nieznanych danych wejściowych można doprowadzić do wystąpienia podatności odmowa usługi. Wpływa to na dostępność.

Informacja o podatności została opublikowana w dniu 2016-03-01 jako 20160301.txt w formie potwierdzone raport (Website). Raport na temat podatności został udostępniony pod adresem openssl.org. Podatność ta jest zwana CVE-2016-0798. Eksploitacja luki jest uważana za trudną. Atak może zostać zainicjowany zdalnie. Nie potrzeba żadnej formy uwierzytelnienia w celu eksploitacji. Ani szczegóły techniczne nie są znane, ani exploit nie jest publicznie dostępny.

Skaner podatności Nessus jest wyposażony w plugin ID 89061 (Debian DSA-3500-1 : openssl - security update), który pomaga ustalić, czy dane środowisko jest podatne na atak.

Aktualizacja eliminuje tę podatność. Potencjalne zabezpieczenie zostało opublikowane po ujawnieniu podatności.

Błąd jest również udokumentowany w bazie podatności SecurityFocus (BID 83705), X-Force (111141), Vulnerability Center (SBV-57005) i Tenable (89061).

Produktinfoedit

Rodzaj

Name

CPE 2.3infoedit

CPE 2.2infoedit

CVSSv3infoedit

VulDB Meta Base Score: 8.7
VulDB Meta Temp Score: 7.5

VulDB Base Score: 9.8
VulDB Temp Score: 8.5
VulDB Vector: 🔍
VulDB Niezawodność: 🔍

NVD Base Score: 7.5
NVD Vector: 🔍

CVSSv2infoedit

AVACAuCIA
🔍🔍🔍🔍🔍🔍
🔍🔍🔍🔍🔍🔍
🔍🔍🔍🔍🔍🔍
VectorComplexityAuthenticationConfidentialityIntegrityAvailability
unlockunlockunlockunlockunlockunlock
unlockunlockunlockunlockunlockunlock
unlockunlockunlockunlockunlockunlock

VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Niezawodność: 🔍

NVD Base Score: 🔍

Exploitinfoedit

Klasa: Odmowa usługi
CWE: CWE-399
ATT&CK: Nieznany

Lokalny: Nie
Zdalny: Tak

Dostępność: 🔍
Status: Niesprawdzone

Przewidywanie ceny: 🔍
Aktualny szacunek cena: 🔍

0-Dayunlockunlockunlockunlock
Dzisiajunlockunlockunlockunlock

Nessus ID: 89061
Nessus Name: Debian DSA-3500-1 : openssl - security update
Nessus File: 🔍
Nessus Risk: 🔍
Nessus Family: 🔍
Nessus Context: 🔍

OpenVAS ID: 12024
OpenVAS Name: Mageia Linux Local Check: mgasa-2016-0093
OpenVAS File: 🔍
OpenVAS Family: 🔍

Qualys ID: 🔍
Qualys Name: 🔍

Threat Intelligenceinfoedit

Zagrożenie: 🔍
Przeciwnicy: 🔍
Geopolityka: 🔍
Gospodarka: 🔍
Prognozy: 🔍
Przeciwdziałanie: 🔍

Przeciwdziałanieinfoedit

Zalecane: Upgrade
Status: 🔍

Reaction Time: 🔍
0-Day Time: 🔍
Exposure Time: 🔍

Oś czasuinfoedit

2015-12-16 🔍
2016-02-23 +69 dni 🔍
2016-03-01 +6 dni 🔍
2016-03-01 +0 dni 🔍
2016-03-01 +0 dni 🔍
2016-03-01 +0 dni 🔍
2016-03-03 +1 dni 🔍
2016-03-03 +0 dni 🔍
2016-03-05 +2 dni 🔍
2017-02-13 +345 dni 🔍
2018-09-01 +564 dni 🔍

Źródłainfoedit

Produkt: https://www.openssl.org/

Raport: 20160301.txt
Status: Potwierdzone
Potwierdzenie: 🔍

CVE: CVE-2016-0798 (🔍)
OVAL: 🔍

SecurityFocus: 83705 - OpenSSL CVE-2016-0798 Memory Leak Denial of Service Vulnerability
X-Force: 111141 - OpenSSL SRP server denial of service
Vulnerability Center: 57005 - OpenSSL Remote Information Disclosure via SRP Database Lookups - CVE-2016-0798, Medium

Zobacz także: 🔍

Wpisinfoedit

Stworzono: 2016-03-03 10:44
Aktualizacje: 2018-09-01 08:40
Zmiany: (18) vulnerability_cvss2_nvd_av vulnerability_cvss2_nvd_ac vulnerability_cvss2_nvd_au vulnerability_cvss2_nvd_ci vulnerability_cvss2_nvd_ii vulnerability_cvss2_nvd_ai vulnerability_cvss3_vuldb_av vulnerability_cvss3_vuldb_ac vulnerability_cvss3_vuldb_pr vulnerability_cvss3_vuldb_ui vulnerability_cvss3_vuldb_s vulnerability_cvss3_vuldb_c vulnerability_cvss3_vuldb_i vulnerability_cvss3_vuldb_a advisory_confirm_url source_oval_id source_securityfocus_date source_securityfocus_class
Kompletny: 🔍

Komentarze

Do you want to use VulDB in your project?

Use the official API to access entries easily!