Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2023-00042

Опубликовано: 06 нояб. 2022
Источник: fstec
CVSS3: 9.1
CVSS2: 9.4
EPSS Низкий

Описание

Уязвимость библиотеки SSL/TLS WolfSSL связана с возможностью чтения за границами буфера в памяти. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, получить несанкционированный доступ к защищаемой информации или вызвать отказ в обслуживании через флаг WOLFSSL_CALLBACKS

Вендор

Todd Ouska

Наименование ПО

WolfSSL

Версия ПО

до 5.5.2 (WolfSSL)

Тип ПО

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 9,4)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,1)

Возможные меры по устранению уязвимости

Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.
Компенсирующие меры:
- отключение функций обратного вызова через макрос WOLFSSL_CALLBACKS;
- использование макроса WOLFSSL_CALLBACKS только в режиме отладки;
- использование средств межсетевого экранирования и средств обнаружения и предотвращения вторжений (IPS/IDS) для фильтрации и контроля запросов, которые могут позволить нарушителю эксплуатировать уязвимость;
- сегментирование сети для изоляции критически важных приложений от внешних сетей (в т.ч. Интернет).
Использование рекомендаций:
https://github.com/wolfSSL/wolfssl/releases
https://github.com/wolfSSL/wolfssl/releases/tag/v5.5.2-stable
https://www.wolfssl.com/docs/security-vulnerabilities/

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 89%
0.04258
Низкий

9.1 Critical

CVSS3

9.4 Critical

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2022-42905

CVSS3: 9.1
ubuntu
больше 3 лет назад

In wolfSSL before 5.5.2, if callback functions are enabled (via the WOLFSSL_CALLBACKS flag), then a malicious TLS 1.3 client or network attacker can trigger a buffer over-read on the heap of 5 bytes. (WOLFSSL_CALLBACKS is only intended for debugging.)

nvd логотип

CVE-2022-42905

CVSS3: 9.1
nvd
больше 3 лет назад

In wolfSSL before 5.5.2, if callback functions are enabled (via the WOLFSSL_CALLBACKS flag), then a malicious TLS 1.3 client or network attacker can trigger a buffer over-read on the heap of 5 bytes. (WOLFSSL_CALLBACKS is only intended for debugging.)

debian логотип

CVE-2022-42905

CVSS3: 9.1
debian
больше 3 лет назад

In wolfSSL before 5.5.2, if callback functions are enabled (via the WO ...

github логотип

GHSA-h6wv-v27f-f93r

CVSS3: 9.1
github
больше 3 лет назад

In wolfSSL before 5.5.2, if callback functions are enabled (via the WOLFSSL_CALLBACKS flag), then a malicious TLS 1.3 client or network attacker can trigger a buffer over-read on the heap of 5 bytes. (WOLFSSL_CALLBACKS is only intended for debugging.)

EPSS

Процентиль: 89%
0.04258
Низкий

9.1 Critical

CVSS3

9.4 Critical

CVSS2