Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2015-11038

Опубликовано: 12 июн. 2015
Источник: fstec
CVSS2: 6.8
EPSS Средний

Описание

Уязвимость функции ssl3_get_new_session_ticket библиотеки OpenSSL связана с ошибками совместного доступа к общему ресурсу. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, вызвать отказ в обслуживании путем манипулирования объектом SessionTicket

Вендор

OpenSSL Software Foundation

Наименование ПО

OpenSSL

Версия ПО

до 0.9.8s (OpenSSL)
от 1.0.0 до 1.0.0e (OpenSSL)
от 1.0.1 до 1.0.1n (OpenSSL)
от 1.0.2 до 1.0.2b (OpenSSL)

Тип ПО

Программное средство защиты

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6,8)

Возможные меры по устранению уязвимости

Использование рекомендаций производителя:
https://www.openssl.org/news/secadv_20150611.txt

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 94%
0.13176
Средний

6.8 Medium

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2015-1791

ubuntu
около 10 лет назад

Race condition in the ssl3_get_new_session_ticket function in ssl/s3_clnt.c in OpenSSL before 0.9.8zg, 1.0.0 before 1.0.0s, 1.0.1 before 1.0.1n, and 1.0.2 before 1.0.2b, when used for a multi-threaded client, allows remote attackers to cause a denial of service (double free and application crash) or possibly have unspecified other impact by providing a NewSessionTicket during an attempt to reuse a ticket that had been obtained earlier.

redhat логотип

CVE-2015-1791

redhat
около 10 лет назад

Race condition in the ssl3_get_new_session_ticket function in ssl/s3_clnt.c in OpenSSL before 0.9.8zg, 1.0.0 before 1.0.0s, 1.0.1 before 1.0.1n, and 1.0.2 before 1.0.2b, when used for a multi-threaded client, allows remote attackers to cause a denial of service (double free and application crash) or possibly have unspecified other impact by providing a NewSessionTicket during an attempt to reuse a ticket that had been obtained earlier.

nvd логотип

CVE-2015-1791

nvd
около 10 лет назад

Race condition in the ssl3_get_new_session_ticket function in ssl/s3_clnt.c in OpenSSL before 0.9.8zg, 1.0.0 before 1.0.0s, 1.0.1 before 1.0.1n, and 1.0.2 before 1.0.2b, when used for a multi-threaded client, allows remote attackers to cause a denial of service (double free and application crash) or possibly have unspecified other impact by providing a NewSessionTicket during an attempt to reuse a ticket that had been obtained earlier.

debian логотип

CVE-2015-1791

debian
около 10 лет назад

Race condition in the ssl3_get_new_session_ticket function in ssl/s3_c ...

github логотип

GHSA-f894-wgvp-qh5g

github
около 3 лет назад

Race condition in the ssl3_get_new_session_ticket function in ssl/s3_clnt.c in OpenSSL before 0.9.8zg, 1.0.0 before 1.0.0s, 1.0.1 before 1.0.1n, and 1.0.2 before 1.0.2b, when used for a multi-threaded client, allows remote attackers to cause a denial of service (double free and application crash) or possibly have unspecified other impact by providing a NewSessionTicket during an attempt to reuse a ticket that had been obtained earlier.

EPSS

Процентиль: 94%
0.13176
Средний

6.8 Medium

CVSS2