📚 Erlang/OTP bis 17.x CBC Padding POODLE schwache Verschlüsselung
💡 Newskategorie: Sicherheitslücken
🔗 Quelle: scip.ch
Allgemein
scipID: 81686
Betroffen: Erlang/OTP bis 17.x
Veröffentlicht: 07.04.2016
Risiko: kritisch
Erstellt: 08.04.2016
Eintrag: 69.3% komplett
Beschreibung
Eine kritische Schwachstelle wurde in Erlang sowie OTP bis 17.x entdeckt. Es geht hierbei um eine unbekannte Funktion der Komponente CBC Padding. Dank der Manipulation mit einer unbekannten Eingabe kann eine schwache Verschlüsselung-Schwachstelle (POODLE) ausgenutzt werden. Auswirkungen sind zu beobachten für Vertraulichkeit, Integrität und Verfügbarkeit.
Die Schwachstelle wurde am 07.04.2016 veröffentlicht. Die Identifikation der Schwachstelle findet als CVE-2015-2774 statt. Der Angriff kann über das Netzwerk passieren. Das Ausnutzen erfordert keine spezifische Authentisierung. Nicht vorhanden sind sowohl technische Details als auch ein Exploit zur Schwachstelle.
Für den Vulnerability Scanner Nessus wurde ein Plugin mit der ID 85470 (Fedora 22 : erlang-17.4-4.fc22 (2015-12923)) herausgegeben, womit die Existenz der Schwachstelle geprüft werden kann. Es wird der Family Fedora Local Security Checks zugeordnet.
Ein Upgrade auf die Version 18.0-rc1 vermag dieses Problem zu beheben.CVSS
Base Score: 6.8 (CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:P) [?]
Temp Score: 5.9 (CVSS2#E:ND/RL:OF/RC:ND) [?]
CPE
Exploiting
Klasse: Schwache Verschlüsselung
Lokal: Nein
Remote: Ja
Verfügbarkeit: Nein
Aktuelle Preisschätzung: $1k-$2k (0-day) / $0-$1k (Heute)
Nessus ID: 85470
Nessus Name: Fedora 22 : erlang-17.4-4.fc22 (2015-12923)
Nessus File: fedora_2015-12923.nasl
Nessus Family: Fedora Local Security Checks
Gegenmassnahmen
Empfehlung: Upgrade
Status: Offizieller Fix
0-Day Time: 0 Tage seit gefunden
Upgrade: Erlang/OTP 18.0-rc1
Timeline
07.04.2016 | Advisory veröffentlicht
08.04.2016 | VulDB Eintrag erstellt
08.04.2016 | VulDB Eintrag aktualisiert
Quellen
CVE: CVE-2015-2774 (mitre.org) (nvd.nist.org) (cvedetails.com)
...