Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2025-11398

Опубликовано: 26 авг. 2024
Источник: fstec
CVSS3: 7.5
CVSS2: 7.8
EPSS Низкий

Описание

Уязвимость реализации протокола согласования ключей Diffie-Hellman Key Agreement Protocol библиотеки OpenSSL связана с ошибками процедуры подтверждения подлинности сертификата. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании

Вендор

Red Hat Inc.
ООО «Ред Софт»
Canonical Ltd.
OpenSSL Software Foundation

Наименование ПО

Red Hat Enterprise Linux
OpenShift Container Platform
Red Hat 3scale API Management Platform
РЕД ОС
Ubuntu
Red Hat JBoss Core Services
Logging subsystem for Red Hat OpenShift
OpenSSL

Версия ПО

6 (Red Hat Enterprise Linux)
7 (Red Hat Enterprise Linux)
8 (Red Hat Enterprise Linux)
4 (OpenShift Container Platform)
2 (Red Hat 3scale API Management Platform)
7.3 (РЕД ОС)
22.04 LTS (Ubuntu)
9 (Red Hat Enterprise Linux)
- (Red Hat JBoss Core Services)
- (Logging subsystem for Red Hat OpenShift)
24.04 LTS (Ubuntu)
10 (Red Hat Enterprise Linux)
до 3.4.0 включительно (OpenSSL)

Тип ПО

Операционная система
Прикладное ПО информационных систем
Микропрограммный код аппаратных компонент компьютера
Программное средство защиты

Операционные системы и аппаратные платформы

Red Hat Inc. Red Hat Enterprise Linux 6
Red Hat Inc. Red Hat Enterprise Linux 7
Red Hat Inc. Red Hat Enterprise Linux 8
ООО «Ред Софт» РЕД ОС 7.3
Canonical Ltd. Ubuntu 22.04 LTS
Red Hat Inc. Red Hat Enterprise Linux 9
Canonical Ltd. Ubuntu 24.04 LTS
Red Hat Inc. Red Hat Enterprise Linux 10

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,8)
Высокий уровень опасности (базовая оценка CVSS 3.1 составляет 7,5)

Возможные меры по устранению уязвимости

В условиях отсутствия обновлений безопасности от производителя рекомендуется придерживаться "Рекомендаций по безопасной настройке операционных систем LINUX", изложенных в методическом документе ФСТЭК России, утверждённом 25 декабря 2022 года.
Использование рекомендаций:
Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2024-41996
Для Ubuntu:
https://ubuntu.com/security/CVE-2024-41996
Компенсирующие меры:
- отключение DHE-шифров;
- использование load balancer или TLS-терминатора;
- использование межсетевого экрана уровня приложений (WAF) для фильтрации пользовательского ввода;

Статус уязвимости

Потенциальная уязвимость

Наличие эксплойта

Данные уточняются

Информация об устранении

Информация об устранении отсутствует

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 69%
0.00589
Низкий

7.5 High

CVSS3

7.8 High

CVSS2

Связанные уязвимости

redos логотип

ROS-20250826-02

CVSS3: 7.5
redos
5 месяцев назад

Уязвимость openssl3

ubuntu логотип

CVE-2024-41996

CVSS3: 7.5
ubuntu
больше 1 года назад

Validating the order of the public keys in the Diffie-Hellman Key Agreement Protocol, when an approved safe prime is used, allows remote attackers (from the client side) to trigger unnecessarily expensive server-side DHE modular-exponentiation calculations. The client may cause asymmetric resource consumption. The basic attack scenario is that the client must claim that it can only communicate with DHE, and the server must be configured to allow DHE and validate the order of the public key.

redhat логотип

CVE-2024-41996

CVSS3: 5.9
redhat
больше 1 года назад

Validating the order of the public keys in the Diffie-Hellman Key Agreement Protocol, when an approved safe prime is used, allows remote attackers (from the client side) to trigger unnecessarily expensive server-side DHE modular-exponentiation calculations. The client may cause asymmetric resource consumption. The basic attack scenario is that the client must claim that it can only communicate with DHE, and the server must be configured to allow DHE and validate the order of the public key.

nvd логотип

CVE-2024-41996

CVSS3: 7.5
nvd
больше 1 года назад

Validating the order of the public keys in the Diffie-Hellman Key Agreement Protocol, when an approved safe prime is used, allows remote attackers (from the client side) to trigger unnecessarily expensive server-side DHE modular-exponentiation calculations. The client may cause asymmetric resource consumption. The basic attack scenario is that the client must claim that it can only communicate with DHE, and the server must be configured to allow DHE and validate the order of the public key.

debian логотип

CVE-2024-41996

CVSS3: 7.5
debian
больше 1 года назад

Validating the order of the public keys in the Diffie-Hellman Key Agre ...

EPSS

Процентиль: 69%
0.00589
Низкий

7.5 High

CVSS3

7.8 High

CVSS2