Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

nvd логотип

CVE-2014-0224

Опубликовано: 05 июн. 2014
Источник: nvd
CVSS3: 7.4
CVSS2: 5.8
EPSS Критический

Уязвимость в OpenSSL, позволяющая захватывать сессии или получать конфиденциальную информацию через внедрение сообщений ChangeCipherSpec

Описание

В OpenSSL обнаружена уязвимость, связанная с некорректной обработкой сообщений ChangeCipherSpec. Эта уязвимость позволяет злоумышленникам вмешиваться в процесс установления защищённых соединений между двумя OpenSSL-системами, заставляя их использовать ключ длиной в ноль символов. Таким образом, злоумышленники могут захватывать сессии или получать доступ к конфиденциальной информации через специальным образом сформированный TLS handshake. Эта уязвимость известна как "CCS Injection".

Затронутые версии ПО

  • OpenSSL версии до 0.9.8za
  • OpenSSL версии 1.0.0 до 1.0.0m
  • OpenSSL версии 1.0.1 до 1.0.1h

Тип уязвимости

  • Перехват данных (man-in-the-middle атака)

Ссылки

Уязвимые конфигурации

Конфигурация 1

Одно из

cpe:2.3:a:openssl:openssl:*:*:*:*:*:*:*:*
Версия до 0.9.8za (исключая)
cpe:2.3:a:openssl:openssl:*:*:*:*:*:*:*:*
Версия от 1.0.0 (включая) до 1.0.0m (исключая)
cpe:2.3:a:openssl:openssl:*:*:*:*:*:*:*:*
Версия от 1.0.1 (включая) до 1.0.1h (исключая)
Конфигурация 2

Одно из

cpe:2.3:a:redhat:jboss_enterprise_application_platform:5.2.0:*:*:*:*:*:*:*
cpe:2.3:a:redhat:jboss_enterprise_application_platform:6.2.3:*:*:*:*:*:*:*
cpe:2.3:a:redhat:jboss_enterprise_web_platform:5.2.0:*:*:*:*:*:*:*
cpe:2.3:a:redhat:jboss_enterprise_web_server:2.0.1:*:*:*:*:*:*:*
cpe:2.3:a:redhat:storage:2.1:*:*:*:*:*:*:*
cpe:2.3:o:fedoraproject:fedora:19:*:*:*:*:*:*:*
cpe:2.3:o:fedoraproject:fedora:20:*:*:*:*:*:*:*
cpe:2.3:o:opensuse:opensuse:13.1:*:*:*:*:*:*:*
cpe:2.3:o:opensuse:opensuse:13.2:*:*:*:*:*:*:*
cpe:2.3:o:redhat:enterprise_linux:4:*:*:*:*:*:*:*
cpe:2.3:o:redhat:enterprise_linux:5:*:*:*:*:*:*:*
cpe:2.3:o:redhat:enterprise_linux:6.0:*:*:*:*:*:*:*
Конфигурация 3
cpe:2.3:a:filezilla-project:filezilla_server:*:*:*:*:*:*:*:*
Версия до 0.9.45 (исключая)
Конфигурация 4

Одновременно

cpe:2.3:o:siemens:application_processing_engine_firmware:*:*:*:*:*:*:*:*
Версия до 2.0.2 (исключая)
cpe:2.3:h:siemens:application_processing_engine:-:*:*:*:*:*:*:*
Конфигурация 5

Одновременно

cpe:2.3:o:siemens:cp1543-1_firmware:*:*:*:*:*:*:*:*
Версия до 1.1.25 (исключая)
cpe:2.3:h:siemens:cp1543-1:-:*:*:*:*:*:*:*
Конфигурация 6

Одновременно

cpe:2.3:o:siemens:s7-1500_firmware:*:*:*:*:*:*:*:*
Версия до 1.6 (исключая)
cpe:2.3:h:siemens:s7-1500:-:*:*:*:*:*:*:*
Конфигурация 7

Одновременно

cpe:2.3:o:siemens:rox_firmware:*:*:*:*:*:*:*:*
Версия до 1.16.1 (исключая)
cpe:2.3:h:siemens:rox:-:*:*:*:*:*:*:*
Конфигурация 8
cpe:2.3:a:mariadb:mariadb:*:*:*:*:*:*:*:*
Версия от 10.0.0 (включая) до 10.0.13 (исключая)
Конфигурация 9

Одно из

cpe:2.3:a:python:python:*:*:*:*:*:*:*:*
Версия от 2.7.0 (включая) до 2.7.8 (исключая)
cpe:2.3:a:python:python:*:*:*:*:*:*:*:*
Версия от 3.4.0 (включая) до 3.4.2 (исключая)
Конфигурация 10
cpe:2.3:a:nodejs:node.js:*:*:*:*:*:*:*:*
Версия до 0.10.29 (исключая)

EPSS

Процентиль: 100%
0.92879
Критический

7.4 High

CVSS3

5.8 Medium

CVSS2

Дефекты

CWE-326

Связанные уязвимости

ubuntu логотип

CVE-2014-0224

CVSS3: 7.4
ubuntu
около 11 лет назад

OpenSSL before 0.9.8za, 1.0.0 before 1.0.0m, and 1.0.1 before 1.0.1h does not properly restrict processing of ChangeCipherSpec messages, which allows man-in-the-middle attackers to trigger use of a zero-length master key in certain OpenSSL-to-OpenSSL communications, and consequently hijack sessions or obtain sensitive information, via a crafted TLS handshake, aka the "CCS Injection" vulnerability.

redhat логотип

CVE-2014-0224

redhat
около 11 лет назад

OpenSSL before 0.9.8za, 1.0.0 before 1.0.0m, and 1.0.1 before 1.0.1h does not properly restrict processing of ChangeCipherSpec messages, which allows man-in-the-middle attackers to trigger use of a zero-length master key in certain OpenSSL-to-OpenSSL communications, and consequently hijack sessions or obtain sensitive information, via a crafted TLS handshake, aka the "CCS Injection" vulnerability.

debian логотип

CVE-2014-0224

CVSS3: 7.4
debian
около 11 лет назад

OpenSSL before 0.9.8za, 1.0.0 before 1.0.0m, and 1.0.1 before 1.0.1h d ...

github логотип

GHSA-84gm-v5wh-659w

CVSS3: 7.4
github
около 3 лет назад

OpenSSL before 0.9.8za, 1.0.0 before 1.0.0m, and 1.0.1 before 1.0.1h does not properly restrict processing of ChangeCipherSpec messages, which allows man-in-the-middle attackers to trigger use of a zero-length master key in certain OpenSSL-to-OpenSSL communications, and consequently hijack sessions or obtain sensitive information, via a crafted TLS handshake, aka the "CCS Injection" vulnerability.

oracle-oval логотип

ELSA-2014-0680

oracle-oval
почти 11 лет назад

ELSA-2014-0680: openssl098e security update (IMPORTANT)

EPSS

Процентиль: 100%
0.92879
Критический

7.4 High

CVSS3

5.8 Medium

CVSS2

Дефекты

CWE-326