Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2022-02632

Опубликовано: 18 авг. 2013
Источник: fstec
CVSS3: 3.7
CVSS2: 4.3
EPSS Низкий

Описание

Уязвимость функции openssl_x509_parse модуля OpenSSL интерпретатора языка программирования PHP существует из-за недостаточной проверки входных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код в сценарии «человек посередине» (MITM, Man-In-The-Middle)

Вендор

Red Hat Inc.
Canonical Ltd.
Novell Inc.
Сообщество свободного программного обеспечения
PHP Group

Наименование ПО

Red Hat Enterprise Linux
Ubuntu
OpenSUSE Leap
Debian GNU/Linux
PHP

Версия ПО

5 (Red Hat Enterprise Linux)
6 (Red Hat Enterprise Linux)
12.04 (Ubuntu)
15.0 (OpenSUSE Leap)
7 (Debian GNU/Linux)
5.5.0 (PHP)
5.5.1 (PHP)
6 (Debian GNU/Linux)
10.04 (Ubuntu)
5.4.4 (PHP)
5.4.2 (PHP)
5.4.13 (PHP)
5.4.9 (PHP)
5.4.8 (PHP)
5.4.16rc1 (PHP)
5.4.15rc1 (PHP)
5.4.12 (PHP)
5.4.11 (PHP)
5.4.7 (PHP)
5.4.3 (PHP)
5.4.14rc1 (PHP)
5.4.10 (PHP)
5.4.1 (PHP)
5.4.0 (PHP)
5.4.12rc2 (PHP)
5.4.12rc1 (PHP)
5.3.6 (PHP)
5.3.5 (PHP)
5.2.10 (PHP)
5.2.13 (PHP)
5.2.4 (PHP)
5.2.3 (PHP)
5.1.1 (PHP)
5.1.0 (PHP)
5.1.6 (PHP)
5.0.0beta4 (PHP)
5.0.0beta3 (PHP)
5.0.0beta1 (PHP)
5.3.11 (PHP)
5.3.4 (PHP)
5.3.9 (PHP)
5.3.2 (PHP)
5.3.10 (PHP)
5.2.5 (PHP)
5.2.11 (PHP)
5.2.14 (PHP)
5.2.1 (PHP)
5.1.4 (PHP)
5.1.5 (PHP)
5.0.0beta2 (PHP)
5.0.2 (PHP)
5.3.8 (PHP)
5.3.1 (PHP)
5.3.7 (PHP)
5.3.12 (PHP)
12.10 (Ubuntu)
5.3.19 (PHP)
5.3.18 (PHP)
5.3.13 (PHP)
5.3.15 (PHP)
5.3.14 (PHP)
13.04 (Ubuntu)
5.3.20 (PHP)
5.2.16 (PHP)
5.0.0 (PHP)
5.3.0 (PHP)
5.2.12 (PHP)
5.2.0 (PHP)
5.2.7 (PHP)
5.2.15 (PHP)
5.3.3 (PHP)
5.2.6 (PHP)
5.2.9 (PHP)
5.0.4 (PHP)
5.0.3 (PHP)
5.0.0rc1 (PHP)
5.0.0rc2 (PHP)
5.2.8 (PHP)
5.2.2 (PHP)
5.2.17 (PHP)
5.1.3 (PHP)
5.1.2 (PHP)
5.0.5 (PHP)
5.3.27 (PHP)
5.3.26 (PHP)
до 5.4.17 включительно (PHP)
5.3.25 (PHP)
5.3.24 (PHP)
5.3.17 (PHP)
5.3.16 (PHP)
5.0.1 (PHP)
5.0.0rc3 (PHP)
5.3.22 (PHP)
5.3.23 (PHP)
5.3.21 (PHP)

Тип ПО

Операционная система
Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Red Hat Inc. Red Hat Enterprise Linux 5
Red Hat Inc. Red Hat Enterprise Linux 6
Canonical Ltd. Ubuntu 12.04
Novell Inc. OpenSUSE Leap 15.0
Сообщество свободного программного обеспечения Debian GNU/Linux 7
Сообщество свободного программного обеспечения Debian GNU/Linux 6
Canonical Ltd. Ubuntu 10.04
Canonical Ltd. Ubuntu 12.10
Canonical Ltd. Ubuntu 13.04

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 4,3)
Низкий уровень опасности (базовая оценка CVSS 3.0 составляет 3,7)

Возможные меры по устранению уязвимости

Использование рекомендаций
https://www.php.net/ChangeLog-5.php
Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2013-4248
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/hydra/rest/securitydata/cve/CVE-2013-4248.xml
Для Ubuntu:
https://ubuntu.com/security/CVE-2013-4248
Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2013-4248

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 93%
0.09892
Низкий

3.7 Low

CVSS3

4.3 Medium

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2013-4248

ubuntu
почти 12 лет назад

The openssl_x509_parse function in openssl.c in the OpenSSL module in PHP before 5.4.18 and 5.5.x before 5.5.2 does not properly handle a '\0' character in a domain name in the Subject Alternative Name field of an X.509 certificate, which allows man-in-the-middle attackers to spoof arbitrary SSL servers via a crafted certificate issued by a legitimate Certification Authority, a related issue to CVE-2009-2408.

redhat логотип

CVE-2013-4248

redhat
почти 12 лет назад

The openssl_x509_parse function in openssl.c in the OpenSSL module in PHP before 5.4.18 and 5.5.x before 5.5.2 does not properly handle a '\0' character in a domain name in the Subject Alternative Name field of an X.509 certificate, which allows man-in-the-middle attackers to spoof arbitrary SSL servers via a crafted certificate issued by a legitimate Certification Authority, a related issue to CVE-2009-2408.

nvd логотип

CVE-2013-4248

nvd
почти 12 лет назад

The openssl_x509_parse function in openssl.c in the OpenSSL module in PHP before 5.4.18 and 5.5.x before 5.5.2 does not properly handle a '\0' character in a domain name in the Subject Alternative Name field of an X.509 certificate, which allows man-in-the-middle attackers to spoof arbitrary SSL servers via a crafted certificate issued by a legitimate Certification Authority, a related issue to CVE-2009-2408.

debian логотип

CVE-2013-4248

debian
почти 12 лет назад

The openssl_x509_parse function in openssl.c in the OpenSSL module in ...

github логотип

GHSA-hhfm-3287-cc2v

github
около 3 лет назад

The openssl_x509_parse function in openssl.c in the OpenSSL module in PHP before 5.4.18 and 5.5.x before 5.5.2 does not properly handle a '\0' character in a domain name in the Subject Alternative Name field of an X.509 certificate, which allows man-in-the-middle attackers to spoof arbitrary SSL servers via a crafted certificate issued by a legitimate Certification Authority, a related issue to CVE-2009-2408.

EPSS

Процентиль: 93%
0.09892
Низкий

3.7 Low

CVSS3

4.3 Medium

CVSS2