Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2016-01654

Опубликовано: 06 дек. 2015
Источник: fstec
CVSS2: 5
EPSS Низкий

Описание

Уязвимость реализации ASN1_TFLG_COMBINE (crypto/asn1/tasn_dec.c) библиотеки OpenSSL связана с отсутствием защиты служебных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, получить защищаемую информацию из памяти процесса

Вендор

Apple Inc.
OpenSSL Software Foundation
Oracle Corp.
Moxa Inc.

Наименование ПО

OS X
OpenSSL
API Gateway
Sun Ray Software
Exalogic Infrastructure
VM VirtualBox
Transportation Management
Life Sciences Data Hub
MOXA EDR-810

Версия ПО

до 10.11.3 включительно (OS X)
до 10.11.3 включительно (OS X)
до 10.11.3 включительно (OS X)
от 1.0.1 до 1.0.1q (OpenSSL)
от 1.0.2 до 1.0.2e (OpenSSL)
11.1.2.4.0 (API Gateway)
11.1.2.3.0 (API Gateway)
11.1 (Sun Ray Software)
1.0 (Exalogic Infrastructure)
2.0 (Exalogic Infrastructure)
до 4.3.36 включительно (VM VirtualBox)
до 5.0.14 включительно (VM VirtualBox)
6.2 (Transportation Management)
6.1 (Transportation Management)
2.1 (Life Sciences Data Hub)
до 0.9.8zh (OpenSSL)
от 1.0.0 до 1.0.0t (OpenSSL)
4.1 (MOXA EDR-810)

Тип ПО

Операционная система
Программное средство защиты
ПО программно-аппаратных средств защиты
Прикладное ПО информационных систем
ПО сетевого программно-аппаратного средства

Операционные системы и аппаратные платформы

Сообщество свободного программного обеспечения Linux .
Сообщество свободного программного обеспечения Linux .
Сообщество свободного программного обеспечения Linux .
Microsoft Corp. Windows .
Microsoft Corp. Windows .
Oracle Corp. Solaris .
Oracle Corp. Solaris .
IBM Corp. IBM i .
IBM Corp. IBM i .
Apple Inc. OS X .
Apple Inc. OS X .
Сообщество свободного программного обеспечения Linux .
Apple Inc. OS X .
FreeBSD Project FreeBSD .
FreeBSD Project FreeBSD .
FreeBSD Project FreeBSD .
OpenBSD Project OpenBSD .
OpenBSD Project OpenBSD .
HP Inc. OpenVMS .
HP Inc. OpenVMS .
HP Inc. OpenVMS .

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 5)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для MOXA:
https://www.moxa.com/en/support/product-support/security-advisory/edr-810-series-security-router-vulnerabilities-(1)
Для OpenSSL:
обновление библиотеки OpenSSL до актуальной версии

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 83%
0.02068
Низкий

5 Medium

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2015-3195

CVSS3: 5.3
ubuntu
больше 9 лет назад

The ASN1_TFLG_COMBINE implementation in crypto/asn1/tasn_dec.c in OpenSSL before 0.9.8zh, 1.0.0 before 1.0.0t, 1.0.1 before 1.0.1q, and 1.0.2 before 1.0.2e mishandles errors caused by malformed X509_ATTRIBUTE data, which allows remote attackers to obtain sensitive information from process memory by triggering a decoding failure in a PKCS#7 or CMS application.

redhat логотип

CVE-2015-3195

CVSS3: 5.3
redhat
больше 9 лет назад

The ASN1_TFLG_COMBINE implementation in crypto/asn1/tasn_dec.c in OpenSSL before 0.9.8zh, 1.0.0 before 1.0.0t, 1.0.1 before 1.0.1q, and 1.0.2 before 1.0.2e mishandles errors caused by malformed X509_ATTRIBUTE data, which allows remote attackers to obtain sensitive information from process memory by triggering a decoding failure in a PKCS#7 or CMS application.

nvd логотип

CVE-2015-3195

CVSS3: 5.3
nvd
больше 9 лет назад

The ASN1_TFLG_COMBINE implementation in crypto/asn1/tasn_dec.c in OpenSSL before 0.9.8zh, 1.0.0 before 1.0.0t, 1.0.1 before 1.0.1q, and 1.0.2 before 1.0.2e mishandles errors caused by malformed X509_ATTRIBUTE data, which allows remote attackers to obtain sensitive information from process memory by triggering a decoding failure in a PKCS#7 or CMS application.

debian логотип

CVE-2015-3195

CVSS3: 5.3
debian
больше 9 лет назад

The ASN1_TFLG_COMBINE implementation in crypto/asn1/tasn_dec.c in Open ...

suse-cvrf логотип

openSUSE-SU-2015:2349-1

suse-cvrf
больше 9 лет назад

Security update for compat-openssl098

EPSS

Процентиль: 83%
0.02068
Низкий

5 Medium

CVSS2