| CVSS Điểm tạm thời meta | Giá khai thác hiện tại (≈) | Điểm quan tâm CTI |
|---|---|---|
| 4.4 | $0-$5k | 0.00 |
Tóm tắt
Một điểm yếu được xếp loại là nghiêm trọng đã được tìm thấy ở OpenSSL đến 1.0.0i. Trường hợp bị ảnh hưởng là một hàm chưa rõ của thành phần SSLv3 Downgrade Handler. Việc thay đổi mã hóa yếu (POODLE). Lỗ hổng này được giao dịch dưới mã CVE-2014-3566. Có thể tiến hành tấn công thông qua truy cập từ xa. Chưa có mã khai thác sẵn sàng. Lỗ hổng bảo mật này đã để lại dấu ấn lịch sử vì bối cảnh và phản hồi. Nên nâng cấp thành phần bị ảnh hưởng.
Chi tiết
Một điểm yếu được xếp loại là nghiêm trọng đã được tìm thấy ở OpenSSL đến 1.0.0i. Trường hợp bị ảnh hưởng là một hàm chưa rõ của thành phần SSLv3 Downgrade Handler. Việc thay đổi mã hóa yếu (POODLE). Việc sử dụng CWE để khai báo sự cố dẫn đến CWE-310. Vấn đề đã được giới thiệu vào 29/03/2010. Lỗ hổng này đã được phát hành vào ngày 14/10/2014 bởi Adam Langley, Bodo Möller, Thai Duong and Krzysztof Kotowicz cùng với Google Security Team với mã This POODLE Bites: Exploiting The SSL 3.0 Fallback dưới loại Security Advisory (Trang web). Bản khuyến nghị được chia sẻ để tải xuống tại googleonlinesecurity.blogspot.co.uk.
Lỗ hổng này được giao dịch dưới mã CVE-2014-3566. Việc gán CVE đã diễn ra vào 14/05/2014. Có thể tiến hành tấn công thông qua truy cập từ xa. Không có thông tin chi tiết kỹ thuật. Mức độ khó của cuộc tấn công này tương đối cao. Việc khai thác lỗ hổng này được đánh giá là khó thực hiện. Độ phổ biến của lỗ hổng này vượt mức trung bình. Chưa có mã khai thác sẵn sàng. Giá hiện tại cho một exploit có thể khoảng USD $0-$5k vào thời điểm này. Dự án MITRE ATT&CK công bố kỹ thuật tấn công là T1600. Lỗ hổng bảo mật này đã để lại dấu ấn lịch sử vì bối cảnh và phản hồi. Cảnh báo chỉ ra rằng:
Encryption in SSL 3.0 uses either the RC4 stream cipher, or a block cipher in CBC mode. (...) The most severe problem of CBC encryption in SSL 3.0 is that its block cipher padding is not deterministic, and not covered by the MAC (Message Authentication Code): thus, the integrity of padding cannot be fully verified when decrypting. Padding by 1 to L bytes (where L is the block size in bytes) is used to obtain an integral number of blocks before performing blockwise CBC (cipherblock chaining) encryption
Nếu tồn tại độ dài, thì nó được xác định là chức năng cao. Lỗ hổng này đã được xử lý như một khai thác zero-day chưa công khai trong ít nhất 1660 ngày. Giai đoạn 0-day, giá ngầm ước tính vào khoảng $5k-$25k. Bản khuyến cáo đề cập:
The weakness is the easiest to exploit if there’s an entire block of padding, which (before encryption) consists of L1 arbitrary bytes followed by a single byte of value L1Plugin với ID 80921 được cung cấp bởi trình quét lỗ hổng Nessus. Nếu có độ dài, nó được gán vào họ Amazon Linux Local Security Checks. Plugin đang chạy trong ngữ cảnh loại l. Cổng 0 đang được sử dụng. Trình quét lỗ hổng thương mại Qualys có thể kiểm tra vấn đề này bằng plugin 86129 (IBM WebSphere Application Server Multiple Vulnerabilities (swg21697368)-Deprecated).
Nâng cấp lên phiên bản 0.9.8zc, 1.0.0o , 1.0.1j có thể khắc phục vấn đề này. Bạn có thể khắc phục vấn đề này bằng cách sử dụng thiết lập cấu hình SSLProtocol All -SSLv2 -SSLv3. Nên nâng cấp thành phần bị ảnh hưởng. Một giải pháp giảm thiểu đã được công bố 1 ngày sau khi lỗ hổng bảo mật được tiết lộ.
Lỗ hổng này cũng được ghi nhận trong các cơ sở dữ liệu lỗ hổng khác: SecurityFocus (BID 70574), X-Force (97013), Secunia (SA61825), SecurityTracker (ID 1031029) , Tenable (80921).
Bị ảnh hưởng
- Webserver (Apache, nginx, ...)
- Webbrowser (Google Chrome, Microsoft Internet Explorer, Mozilla Firefox, ...)
- Mail Server (Sendmail, Postfix, ...)
- PBX (Asterisk)
Sản phẩm
Loại
Tên
Phiên bản
Giấy phép
hỗ trợ
- end of life (old version)
Trang web
- Sản phẩm: https://www.openssl.org/
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vector: 🔍VulDB Độ tin cậy: 🔍
CVSSv3
VulDB Điểm cơ sở meta: 4.5VulDB Điểm tạm thời meta: 4.4
VulDB Điểm cơ sở: 6.8
VulDB Điểm tạm thời: 6.5
VulDB Vector: 🔍
VulDB Độ tin cậy: 🔍
NVD Điểm cơ sở: 3.4
NVD Vector: 🔍
ADP CISA Điểm cơ sở: 3.4
ADP CISA Vector: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Véc-tơ | Độ phức tạp | Xác thực | Bí mật | Toàn vẹn | Khả dụng |
|---|---|---|---|---|---|
| Mở khóa | Mở khóa | Mở khóa | Mở khóa | Mở khóa | Mở khóa |
| Mở khóa | Mở khóa | Mở khóa | Mở khóa | Mở khóa | Mở khóa |
| Mở khóa | Mở khóa | Mở khóa | Mở khóa | Mở khóa | Mở khóa |
VulDB Điểm cơ sở: 🔍
VulDB Điểm tạm thời: 🔍
VulDB Độ tin cậy: 🔍
NVD Điểm cơ sở: 🔍
Khai thác
Tên: POODLELớp: Mã hóa yếu / POODLE
CWE: CWE-310
CAPEC: 🔍
ATT&CK: 🔍
Vật lý: Không
Cục bộ: Không
Từ xa: Có
Khả dụng: 🔍
Trạng thái: Bị tấn công
EPSS Score: 🔍
EPSS Percentile: 🔍
Dự đoán giá: 🔍
Ước tính giá hiện tại: 🔍
| 0-Day | Mở khóa | Mở khóa | Mở khóa | Mở khóa |
|---|---|---|---|---|
| Hôm nay | Mở khóa | Mở khóa | Mở khóa | Mở khóa |
Nessus ID: 80921
Nessus Tên: Amazon Linux AMI : java-1.7.0-openjdk (ALAS-2015-471) (POODLE)
Nessus Tệp tin: 🔍
Nessus Rủi ro: 🔍
Nessus Gia đình: 🔍
Nessus Context: 🔍
Nessus Port: 🔍
OpenVAS ID: 65594
OpenVAS Tên: CentOS Update for java CESA-2015:0085 centos6
OpenVAS Tệp tin: 🔍
OpenVAS Gia đình: 🔍
Qualys ID: 🔍
Qualys Tên: 🔍
MetaSploit ID: ssl_version.rb
MetaSploit Tên: HTTP SSL/TLS Version Detection (POODLE scanner)
MetaSploit Tệp tin: 🔍
Zero-Day.cz: 🔍
Tình báo mối đe dọa
Sự quan tâm: 🔍Diễn viên đang hoạt động: 🔍
Nhóm APT đang hoạt động: 🔍
Biện pháp đối phó
Khuyến nghị: nâng cấpTrạng thái: 🔍
Thời gian phản ứng: 🔍
Thời gian 0-ngày: 🔍
Thời gian tiếp xúc: 🔍
nâng cấp: OpenSSL 0.9.8zc/1.0.0o/1.0.1j
Config: SSLProtocol All -SSLv2 -SSLv3
Suricata ID: 2019415
Suricata Lớp: 🔍
Suricata Tin nhắn: 🔍
dòng thời gian
29/03/2010 🔍14/05/2014 🔍
14/10/2014 🔍
14/10/2014 🔍
14/10/2014 🔍
15/10/2014 🔍
15/10/2014 🔍
15/10/2014 🔍
21/10/2014 🔍
23/01/2015 🔍
29/05/2026 🔍
Nguồn
Sản phẩm: openssl.orgKhuyến cáo: This POODLE Bites: Exploiting The SSL 3.0 Fallback
Nhà nghiên cứu: Adam Langley, Bodo Möller, Thai Duong, Krzysztof Kotowicz
Tổ chức: Google Security Team
Trạng thái: Đã xác nhận
Xác nhận: 🔍
CVE: CVE-2014-3566 (🔍)
GCVE (CVE): GCVE-0-2014-3566
GCVE (VulDB): GCVE-100-67791
OVAL: 🔍
CERT: 🔍
X-Force: 97013 - Multiple products SSLv3 protocol information disclosure, Medium Risk
SecurityFocus: 70574 - OpenSSL CVE-2014-3566 Man In The Middle Information Disclosure Vulnerability
Secunia: 61825 - Apple iOS Multiple Vulnerabilities, Not Critical
OSVDB: 113251
SecurityTracker: 1031029
scip Labs: https://www.scip.ch/en/?labs.20161013
Khác: 🔍
Xem thêm: 🔍
mục
Được tạo: 15/10/2014 10:21Đã cập nhật: 29/05/2026 00:37
Thay đổi: 15/10/2014 10:21 (108), 02/05/2019 17:35 (10), 10/07/2024 20:49 (24), 27/11/2024 22:05 (6), 26/01/2025 22:49 (1), 29/05/2026 00:37 (11)
Hoàn chỉnh: 🔍
Cache ID: 216::103
Be aware that VulDB is the high quality source for vulnerability data.
Chưa có bình luận nào Ngôn ngữ: vi + km + en.
Vui lòng đăng nhập để bình luận