📚 ProFTPD bis 1.3.5a/1.3.6rc1 mod_tls schwache Verschlüsselung
💡 Newskategorie: Sicherheitslücken
🔗 Quelle: scip.ch
Allgemein
scipID: 81624
Betroffen: ProFTPD bis 1.3.5a/1.3.6rc1
Veröffentlicht: 05.04.2016
Risiko: kritisch
Erstellt: 06.04.2016
Eintrag: 66.8% komplett
Beschreibung
Es wurde eine Schwachstelle in ProFTPD bis 1.3.5a/1.3.6rc1 gefunden. Sie wurde als kritisch eingestuft. Betroffen hiervon ist eine unbekannte Funktion der Komponente mod_tls. Durch Manipulation mit einer unbekannten Eingabe kann eine schwache Verschlüsselung-Schwachstelle ausgenutzt werden. Das hat Auswirkungen auf Vertraulichkeit, Integrität und Verfügbarkeit. CVE fasst zusammen:
The mod_tls module in ProFTPD before 1.3.5b and 1.3.6 before 1.3.6rc2 does not properly handle the TLSDHParamFile directive, which might cause a weaker than intended Diffie-Hellman (DH) key to be used and consequently allow attackers to have unspecified impact via unknown vectors.
Die Schwachstelle wurde am 05.04.2016 publik gemacht. Die Verwundbarkeit wird unter CVE-2016-3125 geführt. Der Angriff kann über das Netzwerk erfolgen. Zur Ausnutzung ist keine spezifische Authentisierung erforderlich. Es sind weder technische Details noch ein Exploit zur Schwachstelle bekannt.
Ein Upgrade auf die Version 1.3.5b oder 1.3.6rc2 vermag dieses Problem zu beheben.CVSS
Base Score: 6.8 (CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:P) [?]
Temp Score: 5.9 (CVSS2#E:ND/RL:OF/RC:ND) [?]
CPE
Exploiting
Klasse: Schwache Verschlüsselung
Lokal: Nein
Remote: Ja
Verfügbarkeit: Nein
Aktuelle Preisschätzung: $1k-$2k (0-day) / $0-$1k (Heute)
Gegenmassnahmen
Empfehlung: Upgrade
Status: Offizieller Fix
0-Day Time: 0 Tage seit gefunden
Upgrade: ProFTPD 1.3.5b/1.3.6rc2
Timeline
05.04.2016 | Advisory veröffentlicht
06.04.2016 | VulDB Eintrag erstellt
06.04.2016 | VulDB Eintrag aktualisiert
Quellen
CVE: CVE-2016-3125 (mitre.org) (nvd.nist.org) (cvedetails.com)
...