BDU:2015-00642

Опубликовано: 15 окт. 2014

Источник: fstec

CVSS2: 4.3

EPSS Критический

Описание

Уязвимость существует в протоколе SSL для OpenSSL из-за использования недетерминированного заполнения для CBC-шифрования (сцепление блоков шифротекста). Эксплуатация данной уязвимости позволяет злоумышленнику, действующему по принципу "человек посередине", получить незашифрованные данные, используя атаку с предсказанием заполнения, т. н. атаку POODLE ("пудель").

Вендор

OpenSSL Software Foundation

Наименование ПО

OpenSSL

Версия ПО

от 0.9.8 до 0.9.8.zc (OpenSSL)

от 1.0.0 до 1.0.0o (OpenSSL)

от 1.0.1 до 1.0.1j (OpenSSL)

Тип ПО

Программное средство защиты

Операционные системы и аппаратные платформы

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 4,3)

Возможные меры по устранению уязвимости

Для устранения уязвимости необходимо установить последнюю версию продукта, соответствующую используемой платформе. Необходимую информацию можно получить по адресу:

http://www.openssl.org/

Статус уязвимости

Потенциальная уязвимость

Наличие эксплойта

Данные уточняются

Информация об устранении

Информация об устранении отсутствует

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-3566
CVE

EPSS

Процентиль: 100%

0.94084

Критический

4.3 Medium

CVSS2

Связанные уязвимости

CVE-2014-3566

CVSS3: 3.4

ubuntu

почти 11 лет назад

The SSL protocol 3.0, as used in OpenSSL through 1.0.1i and other products, uses nondeterministic CBC padding, which makes it easier for man-in-the-middle attackers to obtain cleartext data via a padding-oracle attack, aka the "POODLE" issue.