Раскрытие важных данных в OpenSSL

Дата публикации:	29.01.2016
Всего просмотров:	3099
Опасность:	Средняя
Наличие исправления:	Да
Количество уязвимостей:	2
CVSSv2 рейтинг:	5.4 (AV:N/AC:H/Au:N/C:C/I:N/A:N/E:U/RL:OF/RC:C) 4.3 (AV:N/AC:M/Au:N/C:P/I:N/A:N/E:U/RL:OF/RC:C)
CVE ID:	CVE-2016-0701 CVE-2015-3197
Вектор эксплуатации:	Удаленная
Воздействие:	Раскрытие важных данных
CWE ID:	Нет данных
Наличие эксплоита:	Нет данных
Уязвимые продукты:	OpenSSL 1.0.0 OpenSSL 1.0.1
Уязвимые версии:	OpenSSL 1.0.1 до 1.0.1r OpenSSL 1.0.2 до 1.0.2f
Описание:	Уязвимости позволяют удаленному пользователю раскрыть важные данные. 1) Уязвимость существует из-за ошибки в реализации алгоритма Диффи-Хеллмана. Удаленный пользователь может раскрыть важные данные. Примечание: Эксплуатация уязвимости возможна при следующих условиях: Используются SSL_CTX_set_tmp_dh()/SSL_set_tmp_dh() без заданного параметра SSL_OP_SINGLE_DH_USE; Используются параметры SSL_CTX_set_tmp_dh_callback()/SSL_set_tmp_dh_callback(), оба параметра и ключ заданы, но SSL_OP_SINGLE_DH_USE не используется; Используются статические наборы шифров DH. (Затрагивает лишь OpenSSL 1.0.2 до 1.0.2f). 2) Уязвимость существует из-за ошибки контроля доступа в SSLv2. Удаленный пользователь может раскрыть важные данные.
Решение:	Установите исправление с сайта производителя.
Ссылки:	https://www.openssl.org/news/secadv/20160128.txt

Раскрытие важных данных в OpenSSL

Подпишитесь на email рассылку