Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2022-02557

Опубликовано: 16 сент. 2016
Источник: fstec
CVSS3: 7.5
CVSS2: 7.8
EPSS Средний

Описание

Уязвимость реализации протокола DTLS библиотеки OpenSSL связана с ошибками управления ресурсами. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании

Вендор

OpenSSL Software Foundation
Red Hat Inc.
Canonical Ltd.
Сообщество свободного программного обеспечения
Novell Inc.

Наименование ПО

OpenSSL
Red Hat Enterprise Linux
Ubuntu
Debian GNU/Linux
OpenSUSE Leap

Версия ПО

1.0.1n (OpenSSL)
1.0.1o (OpenSSL)
1.0.2b (OpenSSL)
1.0.2c (OpenSSL)
1.0.1m (OpenSSL)
1.0.2a (OpenSSL)
6 (Red Hat Enterprise Linux)
7 (Red Hat Enterprise Linux)
12.04 (Ubuntu)
9 (Debian GNU/Linux)
1.0.2 (OpenSSL)
1.0.2h (OpenSSL)
1.0.2g (OpenSSL)
1.0.2f (OpenSSL)
1.0.2e (OpenSSL)
1.0.2d (OpenSSL)
15.0 (OpenSUSE Leap)
14.04 ESM (Ubuntu)
8 (Debian GNU/Linux)
10 (Debian GNU/Linux)
7 (Debian GNU/Linux)
16.04 ESM (Ubuntu)
11 (Debian GNU/Linux)
1.0.1c (OpenSSL)
1.0.1d (OpenSSL)
1.0.1l (OpenSSL)
1.0.1t (OpenSSL)
1.0.1e (OpenSSL)
1.0.1f (OpenSSL)
1.0.1a (OpenSSL)
1.0.1b (OpenSSL)
1.0.1i (OpenSSL)
1.0.1j (OpenSSL)
1.0.1k (OpenSSL)
1.0.1r (OpenSSL)
1.0.1s (OpenSSL)
1.0.1 (OpenSSL)
1.0.1g (OpenSSL)
1.0.1h (OpenSSL)
1.0.1p (OpenSSL)
1.0.1q (OpenSSL)

Тип ПО

Программное средство защиты
Операционная система

Операционные системы и аппаратные платформы

Red Hat Inc. Red Hat Enterprise Linux 6
Red Hat Inc. Red Hat Enterprise Linux 7
Canonical Ltd. Ubuntu 12.04
Сообщество свободного программного обеспечения Debian GNU/Linux 9
Novell Inc. OpenSUSE Leap 15.0
Canonical Ltd. Ubuntu 14.04 ESM
Сообщество свободного программного обеспечения Debian GNU/Linux 8
Сообщество свободного программного обеспечения Debian GNU/Linux 10
Сообщество свободного программного обеспечения Debian GNU/Linux 7
Canonical Ltd. Ubuntu 16.04 ESM
Сообщество свободного программного обеспечения Debian GNU/Linux 11

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,8)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,5)

Возможные меры по устранению уязвимости

Использование рекомендаций:
https://git.openssl.org/?p=openssl.git;a=commit;h=f5c7f5dfbaf0d2f7d946d0fe86f08e6bcb36ed0d
https://www.openssl.org/news/vulnerabilities.html#y2017
Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2016-2179
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/hydra/rest/securitydata/cve/CVE-2016-2179.xml
Для Ubuntu:
https://ubuntu.com/security/CVE-2016-2179
Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2016-2179

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 95%
0.19593
Средний

7.5 High

CVSS3

7.8 High

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2016-2179

CVSS3: 7.5
ubuntu
почти 9 лет назад

The DTLS implementation in OpenSSL before 1.1.0 does not properly restrict the lifetime of queue entries associated with unused out-of-order messages, which allows remote attackers to cause a denial of service (memory consumption) by maintaining many crafted DTLS sessions simultaneously, related to d1_lib.c, statem_dtls.c, statem_lib.c, and statem_srvr.c.

redhat логотип

CVE-2016-2179

CVSS3: 5.3
redhat
почти 9 лет назад

The DTLS implementation in OpenSSL before 1.1.0 does not properly restrict the lifetime of queue entries associated with unused out-of-order messages, which allows remote attackers to cause a denial of service (memory consumption) by maintaining many crafted DTLS sessions simultaneously, related to d1_lib.c, statem_dtls.c, statem_lib.c, and statem_srvr.c.

nvd логотип

CVE-2016-2179

CVSS3: 7.5
nvd
почти 9 лет назад

The DTLS implementation in OpenSSL before 1.1.0 does not properly restrict the lifetime of queue entries associated with unused out-of-order messages, which allows remote attackers to cause a denial of service (memory consumption) by maintaining many crafted DTLS sessions simultaneously, related to d1_lib.c, statem_dtls.c, statem_lib.c, and statem_srvr.c.

debian логотип

CVE-2016-2179

CVSS3: 7.5
debian
почти 9 лет назад

The DTLS implementation in OpenSSL before 1.1.0 does not properly rest ...

github логотип

GHSA-jxqp-p5q4-rm6m

CVSS3: 7.5
github
около 3 лет назад

The DTLS implementation in OpenSSL before 1.1.0 does not properly restrict the lifetime of queue entries associated with unused out-of-order messages, which allows remote attackers to cause a denial of service (memory consumption) by maintaining many crafted DTLS sessions simultaneously, related to d1_lib.c, statem_dtls.c, statem_lib.c, and statem_srvr.c.

EPSS

Процентиль: 95%
0.19593
Средний

7.5 High

CVSS3

7.8 High

CVSS2