BDU:2015-09698

Опубликовано: 27 июл. 2014

Источник: fstec

CVSS2: 6.8

EPSS Критический

Описание

Множественные уязвимости пакета openssl (до версии 1.0.1h-r1) операционной системы Gentoo Linux, эксплуатация которых может привести к нарушению конфиденциальности, целостности и доступности защищаемой информации. Эксплуатация уязвимостей может быть осуществлена удаленно

Вендор

Gentoo Foundation Inc.

OpenSSL Software Foundation

Наименование ПО

Gentoo Linux

OpenSSL

Версия ПО

до 20140826 (Gentoo Linux)

от 1.0.0 до 1.0.1g (OpenSSL)

Тип ПО

Операционная система

Программное средство защиты

Операционные системы и аппаратные платформы

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6,8)

Возможные меры по устранению уязвимости

Обновление пакета openssl до версий 1.0.1h-r1, 1.0.0m, 0.9.8z_p1, 0.9.8z_p2, 0.9.8z_p3, 0.9.8z_p4, 0.9.8z_p5 или выше

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

http://security.gentoo.org/glsa/glsa-201407-05.xml

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 100%

0.91996

Критический

6.8 Medium

CVSS2

Связанные уязвимости

CVE-2014-3470

ubuntu

около 11 лет назад

The ssl3_send_client_key_exchange function in s3_clnt.c in OpenSSL before 0.9.8za, 1.0.0 before 1.0.0m, and 1.0.1 before 1.0.1h, when an anonymous ECDH cipher suite is used, allows remote attackers to cause a denial of service (NULL pointer dereference and client crash) by triggering a NULL certificate value.