📚 OpenSSL 1.0.2 Diffie-Hellman Parameter Handler X942-style Parameter Man-in-the-Middle schwache Verschlüsselung
💡 Newskategorie: PoC
🔗 Quelle: scip.ch
Allgemein
scipID: 80717
Betroffen: OpenSSL 1.0.2
Veröffentlicht: 28.01.2016
Risiko: kritisch
Erstellt: 29.01.2016
Eintrag: 73.9% komplett
Beschreibung
Eine kritische Schwachstelle wurde in OpenSSL 1.0.2 gefunden. Dies betrifft eine unbekannte Funktion der Komponente Diffie-Hellman Parameter Handler. Durch Beeinflussen durch X942-style Parameter kann eine schwache Verschlüsselung-Schwachstelle (Man-in-the-Middle) ausgenutzt werden. Auswirkungen hat dies auf Vertraulichkeit und Integrität.
Die Schwachstelle wurde am 28.01.2016 als 20160128.txt in Form eines bestätigten Advisories (Website) herausgegeben. Auf openssl.org kann das Advisory eingesehen werden. Die Verwundbarkeit wird seit dem 16.12.2015 mit der eindeutigen Identifikation CVE-2016-0701 gehandelt. Sie gilt als leicht auszunutzen. Umgesetzt werden kann der Angriff über das Netzwerk. Das Ausnutzen erfordert keine spezifische Authentisierung. Technische Details oder ein Exploit zur Schwachstelle sind nicht verfügbar.
Ein Aktualisieren vermag dieses Problem zu lösen. Das Erscheinen einer Gegenmassnahme geschah direkt nach der Veröffentlichung der Schwachstelle. Die Entwickler haben so sofort gehandelt. Mitunter wird der Fehler auch in der Verwundbarkeitsdatenbank von X-Force (110234) dokumentiert. Unter bugzilla.redhat.com werden zusätzliche Informationen bereitgestellt. Mit dieser Schwachstelle verwandte Einträge finden sich unter 80718.CVSS
Base Score: 6.4 (CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:N) [?]
Temp Score: 4.7 (CVSS2#E:U/RL:OF/RC:C) [?]
CPE
Exploiting
Klasse: Schwache Verschlüsselung
Lokal: Nein
Remote: Ja
Verfügbarkeit: Nein
Status: Unbewiesen
Aktuelle Preisschätzung: $10k-$25k (0-day) / $2k-$5k (Heute)
Gegenmassnahmen
Empfehlung: Upgrade
Status: Offizieller Fix
Reaction Time: 0 Tage seit gemeldet
0-Day Time: 0 Tage seit gefunden
Exposure Time: 0 Tage seit bekannt
Timeline
16.12.2015 | CVE zugewiesen
28.01.2016 | Advisory veröffentlicht
28.01.2016 | Gegenmassnahme veröffentlicht
29.01.2016 | VulDB Eintrag erstellt
29.01.2016 | VulDB Eintrag aktualisiert
Quellen
Advisory: 20160128.txt
Status: Bestätigt
CVE: CVE-2016-0701 (mitre.org) (nvd.nist.org) (cvedetails.com)
X-Force: 110234 – OpenSSL DH man-in-the-middle
Diverses: bugzilla.redhat.com
Siehe auch: 80718