| CVSS Meta Temp poäng | Nuvarande exploateringspris (≈) | CTI intressepoäng |
|---|---|---|
| 7.4 | $0-$5k | 0.00 |
I OpenSSL (Network Encryption Software) har en problematiskt svag punkt upptäckte. Som påverkar funktionen BN_bn2dec filen crypto/bn/bn_print.c. Manipulering av argumenten t en okänd ingång leder till en sårbarhet klass minneskorruption svag punkt.
Felet upptäcktes på 25/08/2016. Den svaga punkten är publicerad 16/08/2016 av Shi Lei som USN-3087-1 i en form git commit (GIT Repository) (bekräftad). Den rådgivande finns tillgänglig för nedladdning på git.openssl.org. Kombinerades med tillverkarens på en publikation. Denna svaga punkt är känd som CVE-2016-2182. Attacken på nätet kan. Ingen autentisering-krävs för användning. Det finns tekniska detaljer, men ingen exploit känd. Anledningen till denna sårbarhet är denna del av koden:
bn_data = OPENSSL_malloc((num / BN_DEC_NUM + 1) * sizeof(BN_ULONG));
För vulnerability scanner Nessus en plugin har släppts med ID 95255 (AIX OpenSSL Advisory : openssl_advisory21.asc (SWEET32)), så att sårbarheten kan testas.
Genom att installera en lapp, kan problemet lösas. Plåstret kan laddas ner från git.openssl.org. En möjlig åtgärd har utfärdats omedelbart efter offentliggörandet. Sårbarheten kommer att tas upp med följande rader kod:
bn_data_num = num / BN_DEC_NUM + 1; bn_data = OPENSSL_malloc(bn_data_num * sizeof(BN_ULONG));
Sårbarheten dokumenteras i databaser Tenable (95255).
Produkt
Typ
namn
Licens
CPE 2.3
CPE 2.2
CVSSv4
VulDB CVSS-B Score: 🔍VulDB CVSS-BT Score: 🔍
VulDB Vektor: 🔍
VulDB Pålitlighet: 🔍
CVSSv3
VulDB Meta Basscore: 7.5VulDB Meta Temp poäng: 7.4
VulDB Baspoäng: 5.3
VulDB Temp Betyg: 5.1
VulDB Vektor: 🔍
VulDB Pålitlighet: 🔍
NVD Baspoäng: 9.8
NVD Vektor: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexitet | Autentisering | Sekretess | Integritet | Tillgänglighet |
|---|---|---|---|---|---|
| låsa upp | låsa upp | låsa upp | låsa upp | låsa upp | låsa upp |
| låsa upp | låsa upp | låsa upp | låsa upp | låsa upp | låsa upp |
| låsa upp | låsa upp | låsa upp | låsa upp | låsa upp | låsa upp |
VulDB Baspoäng: 🔍
VulDB Temp Betyg: 🔍
VulDB Pålitlighet: 🔍
NVD Baspoäng: 🔍
Utnyttjar
Klass: MinneskorruptionCWE: CWE-787 / CWE-119
ATT&CK: Okänd
Lokal: Nej
Avlägsen: Ja
Tillgänglighet: 🔍
Status: Inte definierad
EPSS Score: 🔍
EPSS Percentile: 🔍
Pris förutsägelse: 🔍
Nuvarande prisuppskattning: 🔍
| 0-Day | låsa upp | låsa upp | låsa upp | låsa upp |
|---|---|---|---|---|
| I dag | låsa upp | låsa upp | låsa upp | låsa upp |
Nessus ID: 95255
Nessus namn: AIX OpenSSL Advisory : openssl_advisory21.asc (SWEET32)
Nessus Fil: 🔍
Nessus Risk: 🔍
Nessus Family: 🔍
Nessus Context: 🔍
OpenVAS ID: 59958
OpenVAS namn: RedHat Update for openssl RHSA-2016:1940-01
OpenVAS Fil: 🔍
OpenVAS Family: 🔍
Qualys ID: 🔍
Qualys namn: 🔍
Hotinformation
Intressera: 🔍Aktiva skådespelare: 🔍
Aktiva APT-grupper: 🔍
Motåtgärder
Rekommenderad: LappaStatus: 🔍
Reaktionstid: 🔍
0-dagars tid: 🔍
Exponeringstid: 🔍
Lappa: 07bed46f332fce8c1d157689a2cdf915a982ae34
Tidslinje
29/01/2016 🔍16/08/2016 🔍
16/08/2016 🔍
16/08/2016 🔍
25/08/2016 🔍
25/08/2016 🔍
25/08/2016 🔍
16/09/2016 🔍
22/11/2016 🔍
14/09/2022 🔍
Källor
Produkt: openssl.orgRådgivande: USN-3087-1
Forskare: Shi Lei
Status: Bekräftad
Bekräftelse: 🔍
Koordinerad: 🔍
CVE: CVE-2016-2182 (🔍)
OVAL: 🔍
SecurityTracker: 1036688
SecurityFocus: 92557 - OpenSSL 'BN_bn2dec()' Function Out of Bounds Write Denial of Service Vulnerability
Se även: 🔍
Inträde
Skapad: 25/08/2016 11:29Uppdaterad: 14/09/2022 09:56
Ändringar: 25/08/2016 11:29 (86), 07/07/2019 15:53 (7), 14/09/2022 09:56 (5)
Komplett: 🔍
Inga kommentarer än. språk: sv + en.
Logga in för att kommentera.