OpenSSL đến 0.9.7 Block Cipher Padding s3_pkt.c ssl3_get_record mã hóa yếu

CVSS Điểm tạm thời meta	Giá khai thác hiện tại (≈)	Điểm quan tâm CTI
4.8	$0-$5k	0.00

Tóm tắtthông tin

Lỗ hổng thuộc loại nghiêm trọng đã được tìm thấy trong OpenSSL đến 0.9.7. Thành phần bị ảnh hưởng là hàm ssl3_get_record của tệp s3_pkt.c thuộc thành phần Block Cipher Padding. Việc xử lý có thể dẫn đến mã hóa yếu. Lỗ hổng này có mã CVE-2003-0078. Hơn nữa, đã có mã khai thác sẵn sàng. Đề xuất nâng cấp thành phần bị ảnh hưởng.

Chi tiếtthông tin

Lỗ hổng thuộc loại nghiêm trọng đã được tìm thấy trong OpenSSL đến 0.9.7. Thành phần bị ảnh hưởng là hàm ssl3_get_record của tệp s3_pkt.c thuộc thành phần Block Cipher Padding. Việc xử lý có thể dẫn đến mã hóa yếu. Sử dụng CWE để xác định vấn đề sẽ dẫn đến CWE-311. Vấn đề đã được giới thiệu vào 23/12/1998. Lỗ hổng được phát hiện vào ngày 02/05/2002. Thông tin về điểm yếu đã được công bố vào ngày 19/02/2003 bởi Serge Vaudenay (Trang web). Thông báo này có thể được tải về tại openssl.org.

Lỗ hổng này có mã CVE-2003-0078. Có thông tin chi tiết kỹ thuật. Mức độ phổ biến của lỗ hổng này dưới mức trung bình. Hơn nữa, đã có mã khai thác sẵn sàng. Lỗ hổng đã được công khai và có thể bị khai thác. Vào lúc này, giá exploit ước khoảng USD $0-$5k. Dự án MITRE ATT&CK công bố kỹ thuật tấn công là T1600.

Nếu trường này có độ dài, thì nó được đặt là bằng chứng khái niệm. Khai thác này được chia sẻ để tải xuống tại omen.vuagnoux.com. Lỗ hổng này đã là một zero-day chưa được tiết lộ trong ít nhất 1519 ngày. Khi là 0-day, giá trị ước lượng trên thị trường ngầm là khoảng $5k-$25k. Trình quét lỗ hổng Nessus cung cấp một plugin với ID 13783. Nếu có độ dài, nó được gán vào họ SuSE Local Security Checks. Trình quét lỗ hổng thương mại Qualys có thể kiểm tra vấn đề này bằng plugin 38186 (OpenSSL CBC Error Information Leakage Weakness).

Việc nâng cấp lên phiên bản 0.9.6i , 0.9.7a sẽ giải quyết được sự cố này. Đề xuất nâng cấp thành phần bị ảnh hưởng.

Lỗ hổng này cũng xuất hiện trong các cơ sở dữ liệu lỗ hổng khác: SecurityFocus (BID 6884), X-Force (11369), Secunia (SA8101), Vulnerability Center (SBV-1325) , Tenable (13783).

Sản phẩmthông tin

Loại

• Network Encryption Software

Tên

• OpenSSL

Phiên bản

• 0.9.1c
• 0.9.2b
• 0.9.3
• 0.9.4
• 0.9.5
• 0.9.5a
• 0.9.6
• 0.9.6a
• 0.9.6b
• 0.9.6c
• 0.9.6d
• 0.9.6e
• 0.9.6g
• 0.9.6h
• 0.9.7

Giấy phép

• mã nguồn mở

hỗ trợ

• end of life (old version)

Trang web

• Sản phẩm: https://www.openssl.org/

CPE 2.3thông tin

• 🔍
• 🔍
• 🔍

CPE 2.2thông tin

• 🔍
• 🔍
• 🔍

CVSSv4thông tin

VulDB Vector: 🔍
VulDB Độ tin cậy: 🔍

CVSSv3thông tin

VulDB Điểm cơ sở meta: 5.3
VulDB Điểm tạm thời meta: 4.8

VulDB Điểm cơ sở: 5.3
VulDB Điểm tạm thời: 4.8
VulDB Vector: 🔍
VulDB Độ tin cậy: 🔍

CVSSv2thông tin

AV	AC	Au	C	I	A
💳	💳	💳	💳	💳	💳
💳	💳	💳	💳	💳	💳
💳	💳	💳	💳	💳	💳

Véc-tơ	Độ phức tạp	Xác thực	Bí mật	Toàn vẹn	Khả dụng
Mở khóa	Mở khóa	Mở khóa	Mở khóa	Mở khóa	Mở khóa
Mở khóa	Mở khóa	Mở khóa	Mở khóa	Mở khóa	Mở khóa
Mở khóa	Mở khóa	Mở khóa	Mở khóa	Mở khóa	Mở khóa

VulDB Điểm cơ sở: 🔍
VulDB Điểm tạm thời: 🔍
VulDB Độ tin cậy: 🔍

NVD Điểm cơ sở: 🔍

Khai thácthông tin

Lớp: Mã hóa yếu
CWE: CWE-311 / CWE-310
CAPEC: 🔍
ATT&CK: 🔍

Vật lý: Không
Cục bộ: Không
Từ xa: Có

Khả dụng: 🔍
Truy cập: Công khai
Trạng thái: Bằng chứng khái niệm
Tải xuống: 🔍

EPSS Score: 🔍
EPSS Percentile: 🔍

Dự đoán giá: 🔍
Ước tính giá hiện tại: 🔍

0-Day	Mở khóa	Mở khóa	Mở khóa	Mở khóa
Hôm nay	Mở khóa	Mở khóa	Mở khóa	Mở khóa

Nessus ID: 13783
Nessus Tên: SUSE-SA:2003:011: openssl
Nessus Tệp tin: 🔍
Nessus Rủi ro: 🔍
Nessus Gia đình: 🔍

OpenVAS ID: 53329
OpenVAS Tên: Debian Security Advisory DSA 253-1 (openssl)
OpenVAS Tệp tin: 🔍
OpenVAS Gia đình: 🔍

Qualys ID: 🔍
Qualys Tên: 🔍

Exploit-DB: 🔍

Tình báo mối đe dọathông tin

Sự quan tâm: 🔍
Diễn viên đang hoạt động: 🔍
Nhóm APT đang hoạt động: 🔍

Biện pháp đối phóthông tin

Khuyến nghị: nâng cấp
Trạng thái: 🔍

Thời gian 0-ngày: 🔍
Thời gian trễ khai thác: 🔍

nâng cấp: OpenSSL 0.9.6i/0.9.7a

dòng thời gianthông tin

23/12/1998 🔍
02/05/2002 +1226 ngày 🔍
19/02/2003 +292 ngày 🔍
19/02/2003 +0 ngày 🔍
20/02/2003 +1 ngày 🔍
20/02/2003 +0 ngày 🔍
03/03/2003 +10 ngày 🔍
24/03/2003 +21 ngày 🔍
26/06/2003 +94 ngày 🔍
14/02/2004 +233 ngày 🔍
25/07/2004 +161 ngày 🔍
07/08/2014 +3665 ngày 🔍
25/08/2025 +4036 ngày 🔍

Nguồnthông tin

Sản phẩm: openssl.org

Khuyến cáo: openssl.org
Nhà nghiên cứu: Serge Vaudenay
Trạng thái: Đã xác nhận
Xác nhận: 🔍

CVE: CVE-2003-0078 (🔍)
GCVE (CVE): GCVE-0-2003-0078
GCVE (VulDB): GCVE-100-20167
X-Force: 11369
SecurityFocus: 6884 - OpenSSL CBC Error Information Leakage Weakness
Secunia: 8101 - OpenSSL CBC Plaintext Block Disclosure Vulnerability, Less Critical
OSVDB: 3945 - OpenSSL Vaudenay Timing Attack
Vulnerability Center: 1325 - OpenSSL CBC Error Information Leakage, Low

scip Labs: https://www.scip.ch/en/?labs.20161013

mụcthông tin

Được tạo: 07/08/2014 18:07
Đã cập nhật: 25/08/2025 08:40
Thay đổi: 07/08/2014 18:07 (82), 10/05/2019 12:34 (5), 07/12/2024 16:40 (19), 25/08/2025 08:40 (2)
Hoàn chỉnh: 🔍
Cache ID: 216::103

Be aware that VulDB is the high quality source for vulnerability data.

Thảo luận

Do you know our Splunk app?

Download it now for free!