Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2023-00658

Опубликовано: 08 авг. 2021
Источник: fstec
CVSS3: 8.8
CVSS2: 10
EPSS Низкий

Описание

Уязвимость реализации протокола синхронизации времени NTP VPN-сервиса WireGuard операционных систем Windows связана с недостаточной проверкой входных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании

Вендор

Jason A. Donenfeld

Наименование ПО

WireGuard

Версия ПО

0.5.3 (WireGuard)

Тип ПО

Сетевое средство

Операционные системы и аппаратные платформы

Microsoft Corp Windows -

Уровень опасности уязвимости

Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,8)

Возможные меры по устранению уязвимости

Использование рекомендаций:
https://lists.zx2c4.com/pipermail/wireguard/2021-August/006916.html
Компенсирующие меры:
1) Использование протокола синхронизации времени аналогичного NTP ( NTPSec, NTS, Chrony и др.)
2) Использование значения счетчика равное 1 и увеличение его в каждой последующей фазе на единицу

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Информация об устранении отсутствует

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 19%
0.00062
Низкий

8.8 High

CVSS3

10 Critical

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2021-46873

CVSS3: 5.3
ubuntu
около 3 лет назад

WireGuard, such as WireGuard 0.5.3 on Windows, does not fully account for the possibility that an adversary might be able to set a victim's system time to a future value, e.g., because unauthenticated NTP is used. This can lead to an outcome in which one static private key becomes permanently useless.

nvd логотип

CVE-2021-46873

CVSS3: 5.3
nvd
около 3 лет назад

WireGuard, such as WireGuard 0.5.3 on Windows, does not fully account for the possibility that an adversary might be able to set a victim's system time to a future value, e.g., because unauthenticated NTP is used. This can lead to an outcome in which one static private key becomes permanently useless.

debian логотип

CVE-2021-46873

CVSS3: 5.3
debian
около 3 лет назад

WireGuard, such as WireGuard 0.5.3 on Windows, does not fully account ...

github логотип

GHSA-mv36-8276-2729

CVSS3: 5.3
github
около 3 лет назад

WireGuard, such as WireGuard 0.5.3 on Windows, does not fully account for the possibility that an adversary might be able to set a victim's system time to a future value, e.g., because unauthenticated NTP is used. This can lead to an outcome in which one static private key becomes permanently useless.

EPSS

Процентиль: 19%
0.00062
Низкий

8.8 High

CVSS3

10 Critical

CVSS2