Уязвимость утечки информации в TLS из-за использования слабых хеш-алгоритмов
Описание
Злоумышленник, успешно эксплуатировавший данную уязвимость, способен получить информацию для дальнейшей компрометации зашифрованного канала передачи данных пользователя.
Условия эксплуатации
Для эксплуатации уязвимости злоумышленнику необходимо провести атаку типа "человек посередине" (MiTM).
Решение
Обновление устраняет уязвимость, исправляя использование хеш-алгоритмов компонентами TLS.
Часто задаваемые вопросы (FAQ)
Какой тип раскрытия информации рассматривает CVE?
Этот CVE рассматривает ограничения протокола, связанные с повторным использованием временных ключей TLS_DHE, что может привести к раскрытию ключей.
Есть ли рекомендации по использованию ключей TLS_DHE?
В индустрии в основном прекратили использование TLS_DHE. Microsoft рекомендует клиентам отключить TLS_DHE.
Обновления
| Продукт | Статья | Обновление |
|---|---|---|
| Windows Server 2008 for 32-bit Systems Service Pack 2 | ||
| Windows Server 2008 for x64-based Systems Service Pack 2 | ||
| Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation) | ||
| Windows 7 for 32-bit Systems Service Pack 1 | ||
| Windows 7 for x64-based Systems Service Pack 1 | ||
| Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation) | ||
| Windows Server 2008 R2 for x64-based Systems Service Pack 1 | ||
| Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation) | ||
| Windows Server 2012 | ||
| Windows Server 2012 (Server Core installation) |
Показывать по
Возможность эксплуатации
Publicly Disclosed
Exploited
Latest Software Release
Older Software Release
DOS
EPSS
5.4 Medium
CVSS3
Связанные уязвимости
<p>A information disclosure vulnerability exists when TLS components use weak hash algorithms. An attacker who successfully exploited this vulnerability could obtain information to further compromise a users's encrypted transmission channel.</p> <p>To exploit the vulnerability, an attacker would have to conduct a man-in-the-middle attack.</p> <p>The update addresses the vulnerability by correcting how TLS components use hash algorithms.</p>
A information disclosure vulnerability exists when TLS components use weak hash algorithms, aka 'TLS Information Disclosure Vulnerability'.
Уязвимость реализации протокола TLS (Transport Layer Security) операционных систем Windows, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации
EPSS
5.4 Medium
CVSS3