Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2015-11042

Опубликовано: 20 мая 2015
Источник: fstec
CVSS3: 3.7
CVSS2: 4.3
EPSS Критический

Описание

Уязвимость библиотеки OpenSSL связана с ошибками криптографических преобразований. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо и имеющему доступ к каналу передачи данных, проводить атаки, направленные на снижение стойкости алгоритма шифрования путем подмены запросов ClientHello и ServerHello в случае, когда DHE-EXPORT включен на сервере, но не включен на клиенте

Вендор

OpenSSL Software Foundation
Oracle Corp.

Наименование ПО

OpenSSL
Enterprise Manager Ops Center

Версия ПО

1.0.1m (OpenSSL)
1.0.2a (OpenSSL)
12.4.0.0 (Enterprise Manager Ops Center)

Тип ПО

Программное средство защиты
Сетевое программное средство

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 4,3)
Низкий уровень опасности (базовая оценка CVSS 3.0 составляет 3,7)

Возможные меры по устранению уязвимости

Использование рекомендаций производителя:
Для OpenSSL:
https://www.openssl.org/news/secadv_20150611.txt
Для программных продуктов Oracle Corp.:
https://www.oracle.com/security-alerts/cpujan2021.html

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 100%
0.93905
Критический

3.7 Low

CVSS3

4.3 Medium

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2015-4000

CVSS3: 3.7
ubuntu
около 10 лет назад

The TLS protocol 1.2 and earlier, when a DHE_EXPORT ciphersuite is enabled on a server but not on a client, does not properly convey a DHE_EXPORT choice, which allows man-in-the-middle attackers to conduct cipher-downgrade attacks by rewriting a ClientHello with DHE replaced by DHE_EXPORT and then rewriting a ServerHello with DHE_EXPORT replaced by DHE, aka the "Logjam" issue.

redhat логотип

CVE-2015-4000

CVSS3: 3.7
redhat
около 10 лет назад

The TLS protocol 1.2 and earlier, when a DHE_EXPORT ciphersuite is enabled on a server but not on a client, does not properly convey a DHE_EXPORT choice, which allows man-in-the-middle attackers to conduct cipher-downgrade attacks by rewriting a ClientHello with DHE replaced by DHE_EXPORT and then rewriting a ServerHello with DHE_EXPORT replaced by DHE, aka the "Logjam" issue.

nvd логотип

CVE-2015-4000

CVSS3: 3.7
nvd
около 10 лет назад

The TLS protocol 1.2 and earlier, when a DHE_EXPORT ciphersuite is enabled on a server but not on a client, does not properly convey a DHE_EXPORT choice, which allows man-in-the-middle attackers to conduct cipher-downgrade attacks by rewriting a ClientHello with DHE replaced by DHE_EXPORT and then rewriting a ServerHello with DHE_EXPORT replaced by DHE, aka the "Logjam" issue.

debian логотип

CVE-2015-4000

CVSS3: 3.7
debian
около 10 лет назад

The TLS protocol 1.2 and earlier, when a DHE_EXPORT ciphersuite is ena ...

suse-cvrf логотип

openSUSE-SU-2016:2267-1

suse-cvrf
почти 9 лет назад

Security update for libtcnative-1-0

EPSS

Процентиль: 100%
0.93905
Критический

3.7 Low

CVSS3

4.3 Medium

CVSS2