Cookie Consent by Free Privacy Policy Generator 📌 OpenSSL 1.0.1/1.0.2 SSL/TLS Client Handler Man-in-the-Middle schwache Verschlüsselung

🏠 Team IT Security News

TSecurity.de ist eine Online-Plattform, die sich auf die Bereitstellung von Informationen,alle 15 Minuten neuste Nachrichten, Bildungsressourcen und Dienstleistungen rund um das Thema IT-Sicherheit spezialisiert hat.
Ob es sich um aktuelle Nachrichten, Fachartikel, Blogbeiträge, Webinare, Tutorials, oder Tipps & Tricks handelt, TSecurity.de bietet seinen Nutzern einen umfassenden Überblick über die wichtigsten Aspekte der IT-Sicherheit in einer sich ständig verändernden digitalen Welt.

16.12.2023 - TIP: Wer den Cookie Consent Banner akzeptiert, kann z.B. von Englisch nach Deutsch übersetzen, erst Englisch auswählen dann wieder Deutsch!

Google Android Playstore Download Button für Team IT Security



📚 OpenSSL 1.0.1/1.0.2 SSL/TLS Client Handler Man-in-the-Middle schwache Verschlüsselung


💡 Newskategorie: PoC
🔗 Quelle: scip.ch

Allgemein

scipID: 80718
Betroffen: OpenSSL 1.0.1/1.0.2
Veröffentlicht: 28.01.2016
Risiko: kritisch

Erstellt: 29.01.2016
Eintrag: 73.4% komplett

Beschreibung

Es wurde eine kritische Schwachstelle in OpenSSL 1.0.1/1.0.2 ausgemacht. Dabei betrifft es eine unbekannte Funktion der Komponente SSL/TLS Client Handler. Dank der Manipulation mit einer unbekannten Eingabe kann eine schwache Verschlüsselung-Schwachstelle (Man-in-the-Middle) ausgenutzt werden. Auswirkungen sind zu beobachten für Vertraulichkeit und Integrität.

Die Schwachstelle wurde am 28.01.2016 als 20160128.txt in Form eines bestätigten Advisories (Website) publik gemacht. Das Advisory kann von openssl.org heruntergeladen werden. Die Verwundbarkeit wird seit dem 10.04.2015 unter CVE-2015-3197 geführt. Sie gilt als leicht ausnutzbar. Der Angriff kann über das Netzwerk erfolgen. Zur Ausnutzung ist keine spezifische Authentisierung erforderlich. Nicht vorhanden sind sowohl technische Details als auch ein Exploit zur Schwachstelle.

Ein Upgrade vermag dieses Problem zu beheben. Das Erscheinen einer Gegenmassnahme geschah direkt nach der Veröffentlichung der Schwachstelle. Die Entwickler haben also sofort reagiert. Mitunter wird der Fehler auch in der Verwundbarkeitsdatenbank von X-Force (110235) dokumentiert. Weitere Informationen werden unter bugzilla.redhat.com bereitgestellt. Die Einträge 80717 sind sehr ähnlich.

CVSS

Base Score: 6.4 (CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:N) [?]
Temp Score: 4.7 (CVSS2#E:U/RL:OF/RC:C) [?]

CPE

Exploiting

Klasse: Schwache Verschlüsselung
Lokal: Nein
Remote: Ja

Verfügbarkeit: Nein
Status: Unbewiesen

Aktuelle Preisschätzung: $10k-$25k (0-day) / $2k-$5k (Heute)

Gegenmassnahmen

Empfehlung: Upgrade
Status: Offizieller Fix
Reaction Time: 0 Tage seit gemeldet
0-Day Time: 0 Tage seit gefunden
Exposure Time: 0 Tage seit bekannt

Timeline

10.04.2015 | CVE zugewiesen
28.01.2016 | Advisory veröffentlicht
28.01.2016 | Gegenmassnahme veröffentlicht
29.01.2016 | VulDB Eintrag erstellt
29.01.2016 | VulDB Eintrag aktualisiert

Quellen

Advisory: 20160128.txt
Status: Bestätigt

CVE: CVE-2015-3197 (mitre.org) (nvd.nist.org) (cvedetails.com)

X-Force: 110235 – OpenSSL SSL/TLS clients man-in-the-middle

Diverses: bugzilla.redhat.com
Siehe auch: 80717

...













📌 CVE-2022-20927 | Cisco ASA/Firepower Threat Defense SSL/TLS denial of service (cisco-sa-ssl-client-dos-cCrQPkA)


📈 36.44 Punkte

📌 Cavium Nitrox SSL/Nitrox V SSL/TurboSSL SDK Bleichenbacher schwache Verschlüsselung


📈 36.2 Punkte

📌 Red Hat CloudForms 5.8 SSL/TLS Certificate schwache Verschlüsselung


📈 36.09 Punkte

📌 Mono bis 3.12.0 TLS Stack SSL schwache Verschlüsselung


📈 36.09 Punkte

📌 Huawei DBS3900 TDD LTE V100R003C00/V100R004C10 SSL/TLS schwache Verschlüsselung


📈 36.09 Punkte

📌 Huawei DBS3900 TDD LTE V100R003C00/V100R004C10 SSL/TLS schwache Verschlüsselung


📈 36.09 Punkte

📌 CVE-2015-3197 | OpenSSL 1.0.1/1.0.2 SSL/TLS Client cryptographic issues (ID 257823 / BID-82237)


📈 35.76 Punkte

📌 PHP bis 5.4.43/5.5.27/5.6.11 ext/openssl/openssl.c RAND_pseudo_bytes schwache Verschlüsselung


📈 34.85 Punkte

📌 PHP bis 5.4.43/5.5.27/5.6.11 ext/openssl/openssl.c RAND_pseudo_bytes schwache Verschlüsselung


📈 34.85 Punkte

📌 Adcon Telemetry A840 Telemetry Gateway Base Station Java Client SSL schwache Verschlüsselung


📈 33.28 Punkte

📌 Adcon Telemetry A840 Telemetry Gateway Base Station Java Client SSL schwache Verschlüsselung


📈 33.28 Punkte

📌 Siemens SINUMERIK Integrate Operate Client bis 2.0.6/3.0.6 TLS Session schwache Verschlüsselung


📈 33.17 Punkte

📌 OpenSSL bis 1.0.1r/1.0.2f SSLv2 Handler Padding schwache Verschlüsselung


📈 32.84 Punkte

📌 OpenSSL bis 0.9.8/1.0.0q/1.0.1l/1.0.2 SSLv2 Handler s2_srvr.c get_client_master_key schwache Verschlüsselung


📈 32.84 Punkte

📌 OpenSSL bis 1.0.1r/1.0.2f SSLv2 Handler Padding schwache Verschlüsselung


📈 32.84 Punkte

📌 OpenSSL bis 0.9.8/1.0.0q/1.0.1l/1.0.2 SSLv2 Handler s2_srvr.c get_client_master_key schwache Verschlüsselung


📈 32.84 Punkte

📌 Nginx tuning TLS/SSL https – Improved TTFB/latency (tl:dr: http2, session caching, OCSP Stapling, ssl buffer size, HSTS)


📈 29.49 Punkte

📌 Nginx tuning TLS/SSL https – Improved TTFB/latency (tl;dr = http2, session caching, OCSP Stapling, ssl buffer size, HSTS)


📈 29.49 Punkte

📌 A brief overview of the TCP/IP model, SSL/TLS/HTTPS protocols and SSL certificates


📈 29.49 Punkte

📌 Von SSL und TLS zu TLS 1.2: Migrationsplan für PCI DSS 3.1 erstellen


📈 29.38 Punkte

📌 Von SSL und TLS zu TLS 1.2: Migrationsplan für PCI DSS 3.1 erstellen


📈 29.38 Punkte

📌 TLS-Scanner - The TLS-Scanner Module From TLS-Attacker


📈 29.27 Punkte

📌 Dovecot up to 2.2.16 ssl-proxy-openssl.c ssl-proxy-opensslc denial of service


📈 28.93 Punkte

📌 Dovecot bis 2.2.16 ssl-proxy-openssl.c ssl-proxy-opensslc Denial of Service


📈 28.93 Punkte

📌 OpenSSL up to 0.9.7a SSL/TLS Connection privilege escalation


📈 28.81 Punkte

📌 OpenSSL up to 0.9.7a SSL/TLS Connection privilege escalation


📈 28.81 Punkte

📌 OpenSSL up to 0.9.7c SSL/TLS Handshake denial of service


📈 28.81 Punkte

📌 OpenSSL 1.0.0 up to 1.0.1e TLS Cipher ssl/s3_lib.c ssl_get_algorithm2 cryptographic issues


📈 28.81 Punkte

📌 OpenSSL 1.0.1 up to 1.0.1e Handshake ssl/s3_both.c ssl3_take_mac TLS Record input validation


📈 28.81 Punkte

📌 OpenSSL 3.0.8 - Cryptography library and toolkit that enables developers to work with the TLS and SSL protocols.


📈 28.81 Punkte

📌 OpenSSL 1.1.1 is released, including support for TLS 1.3 and a "complete rewrite of the OpenSSL random number generator"


📈 28.14 Punkte

📌 OpenSSL alpha adds TLS 1.3 support in the alpha version of OpenSSL 1.1.1


📈 28.14 Punkte

matomo