📚 OpenSSL bis 1.1.0 record/rec_layer_s3.c ssl3_read_bytes Denial of Service
💡 Newskategorie: Sicherheitslücken
🔗 Quelle: vuldb.com
In OpenSSL bis 1.1.0 wurde eine problematische Schwachstelle gefunden. Es geht um die Funktion ssl3_read_bytes
der Datei record/rec_layer_s3.c. Durch das Beeinflussen mit einer unbekannten Eingabe kann eine Denial of Service-Schwachstelle (Loop) ausgenutzt werden. Das hat Auswirkungen auf die Verfügbarkeit.
Die Schwachstelle wurde am 26.09.2016 an die Öffentlichkeit getragen. Eine eindeutige Identifikation der Schwachstelle wird mit CVE-2016-6305 vorgenommen. Die Umsetzung des Angriffs kann dabei über das Netzwerk erfolgen. Technische Details sind bekannt, ein verfügbarer Exploit hingegen nicht. Es muss davon ausgegangen werden, dass ein Exploit zur Zeit etwa USD $2k-$5k kostet.
Ein Upgrade auf die Version 1.1.0a vermag dieses Problem zu beheben.
Schwachstellen ähnlicher Art sind dokumentiert unter 92199, 92201, 92202 und 92203.
CVSSv3
Base Score: ≈4.3 [?]Temp Score: ≈4.1 [?]
Vector: CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:L/E:X/RL:O/RC:X [?]
Zuverlässigkeit: Medium
CVSSv2
Base Score: ≈3.5 (CVSS2#AV:N/AC:M/Au:S/C:N/I:N/A:P) [?]Temp Score: ≈3.0 (CVSS2#E:ND/RL:OF/RC:ND) [?]
Zuverlässigkeit: Medium
CPE
Exploiting
Klasse: Denial of ServiceLokal: Nein
Remote: Ja
Verfügbarkeit: Nein
Aktuelle Preisschätzung: $0-$1k (0-day) / $0-$1k (Heute)
Gegenmassnahmen
Empfehlung: UpgradeStatus: Offizieller Fix
0-Day Time: 0 Tage seit gefunden
Upgrade: OpenSSL 1.1.0a
Timeline
26.09.2016 Advisory veröffentlicht27.09.2016 VulDB Eintrag erstellt
27.09.2016 VulDB letzte Aktualisierung
Quellen
CVE: CVE-2016-6305 (mitre.org) (nvd.nist.org) (cvedetails.com)
Siehe auch: 92199, 92201, 92202, 92203
Eintrag
Erstellt: 27.09.2016Eintrag: 72.2% komplett
...