Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2024-04484

Опубликовано: 14 мая 2024
Источник: fstec
CVSS3: 5.9
CVSS2: 5.4
EPSS Низкий

Описание

Уязвимость компонента OpenSSL Handler инструмента измерения пропускной способности сети Iperf3 связана с использованием побочного канала синхронизации в операциях дешифрования RSA. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить доступ к конфиденциальной информации

Вендор

ООО «Ред Софт»
АО «НТЦ ИТ РОСА»
Сообщество свободного программного обеспечения

Наименование ПО

РЕД ОС
ROSA Virtualization
Iperf3
ROSA Virtualization 3.0

Версия ПО

7.3 (РЕД ОС)
2.1 (ROSA Virtualization)
от 3.0 до 3.17 (Iperf3)
3.0 (ROSA Virtualization 3.0)

Тип ПО

Операционная система
Сетевое средство

Операционные системы и аппаратные платформы

ООО «Ред Софт» РЕД ОС 7.3
АО «НТЦ ИТ РОСА» ROSA Virtualization 2.1
АО «НТЦ ИТ РОСА» ROSA Virtualization 3.0 3.0

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 5,4)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 5,9)

Возможные меры по устранению уязвимости

Для iPerf3:
https://github.com/esnet/iperf/releases/tag/3.17
Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
Для системы управления средой виртуализации «ROSA Virtualization»: https://abf.rosa.ru/advisories/ROSA-SA-2024-2504
Для системы управления средой виртуализации «ROSA Virtualization»: https://abf.rosa.ru/advisories/ROSA-SA-2024-2504
Для программной системы управления средой виртуализации с подсистемой безагентного резервного копирования виртуальных машин «ROSA Virtualization 3.0»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2737

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 22%
0.0007
Низкий

5.9 Medium

CVSS3

5.4 Medium

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2024-26306

CVSS3: 5.9
ubuntu
около 1 года назад

iPerf3 before 3.17, when used with OpenSSL before 3.2.0 as a server with RSA authentication, allows a timing side channel in RSA decryption operations. This side channel could be sufficient for an attacker to recover credential plaintext. It requires the attacker to send a large number of messages for decryption, as described in "Everlasting ROBOT: the Marvin Attack" by Hubert Kario.

redhat логотип

CVE-2024-26306

CVSS3: 5.9
redhat
около 1 года назад

iPerf3 before 3.17, when used with OpenSSL before 3.2.0 as a server with RSA authentication, allows a timing side channel in RSA decryption operations. This side channel could be sufficient for an attacker to recover credential plaintext. It requires the attacker to send a large number of messages for decryption, as described in "Everlasting ROBOT: the Marvin Attack" by Hubert Kario.

nvd логотип

CVE-2024-26306

CVSS3: 5.9
nvd
около 1 года назад

iPerf3 before 3.17, when used with OpenSSL before 3.2.0 as a server with RSA authentication, allows a timing side channel in RSA decryption operations. This side channel could be sufficient for an attacker to recover credential plaintext. It requires the attacker to send a large number of messages for decryption, as described in "Everlasting ROBOT: the Marvin Attack" by Hubert Kario.

msrc логотип

CVE-2024-26306

CVSS3: 5.9
msrc
около 1 года назад

Описание отсутствует

debian логотип

CVE-2024-26306

CVSS3: 5.9
debian
около 1 года назад

iPerf3 before 3.17, when used with OpenSSL before 3.2.0 as a server wi ...

EPSS

Процентиль: 22%
0.0007
Низкий

5.9 Medium

CVSS3

5.4 Medium

CVSS2