Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

redhat логотип

CVE-2014-3566

Опубликовано: 14 окт. 2014
Источник: redhat
CVSS2: 5
EPSS Критический

Уязвимость протокола SSL 3.0, известная как проблема "POODLE", позволяющая получать данные в открытом виде через атаку типа "padding oracle"

Описание

Обнаружена уязвимость в протоколе SSL 3.0, используемом в OpenSSL и других продуктах. Проблема связана с недетерминированным заполнением CBC (cipher block chaining), что облегчает атакующим, выполняющим атаку "человек посередине" (MITM), получение данных в открытом виде через атаку типа "padding oracle".

Проблема возникает из-за способа, которым SSL 3.0 обрабатывает байты заполнения (padding bytes) при расшифровке сообщений, зашифрованных блочными шифрами в режиме CBC. Эта уязвимость позволяет злоумышленнику расшифровать выбранный байт шифротекста за столько попыток, сколько требуется для перебора всех возможных значений (до 256 попыток), если он сможет заставить приложение жертвы многократно отправлять одни и те же данные через новые соединения SSL 3.0.

Заявление

Данная проблема затрагивает версии следующих продуктов:

  • OpenSSL, поставляемый с Red Hat Enterprise Linux 5, 6 и 7,
  • Red Hat JBoss Enterprise Application Platform 5 и 6,
  • Red Hat JBoss Web Server 1 и 2,
  • Red Hat Enterprise Virtualization Hypervisor 6.5,
  • Red Hat Storage 2.1.
  • NSS, поставляемый с Red Hat Enterprise Linux 5, 6 и 7.

Дополнительная информация доступна в статье базы знаний Red Hat: https://access.redhat.com/articles/1232123.

Затронутые версии ПО

  • OpenSSL до версии 1.0.1i
  • Протокол SSL 3.0

Тип уязвимости

  • Раскрытие информации
  • Атака типа "человек посередине" (man-in-the-middle)

Затронутые пакеты

ПлатформаПакетСостояниеРекомендацияРелиз
OpenShift Enterprise 1jenkinsWill not fix
OpenStack ForemanpuppetWill not fix
Red Hat Enterprise Linux 5gnutlsUnder investigation
Red Hat Enterprise Linux 5nssAffected
Red Hat Enterprise Linux 5openssl097aAffected
Red Hat Enterprise Linux 6gnutlsUnder investigation
Red Hat Enterprise Linux 6nssAffected
Red Hat Enterprise Linux 7gnutlsUnder investigation
Red Hat Enterprise Linux 7openssl098eAffected
Red Hat Enterprise Linux OpenStack Platform 5 (Icehouse)puppetWill not fix

Показывать по

Ссылки на источники

Дополнительная информация

Статус:

Important
Дефект:
CWE-636
Дефект:
CWE-757
https://bugzilla.redhat.com/show_bug.cgi?id=1152789SSL/TLS: Padding Oracle On Downgraded Legacy Encryption attack

EPSS

Процентиль: 100%
0.94196
Критический

5 Medium

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2014-3566

CVSS3: 3.4
ubuntu
почти 11 лет назад

The SSL protocol 3.0, as used in OpenSSL through 1.0.1i and other products, uses nondeterministic CBC padding, which makes it easier for man-in-the-middle attackers to obtain cleartext data via a padding-oracle attack, aka the "POODLE" issue.

nvd логотип

CVE-2014-3566

CVSS3: 3.4
nvd
почти 11 лет назад

The SSL protocol 3.0, as used in OpenSSL through 1.0.1i and other products, uses nondeterministic CBC padding, which makes it easier for man-in-the-middle attackers to obtain cleartext data via a padding-oracle attack, aka the "POODLE" issue.

debian логотип

CVE-2014-3566

CVSS3: 3.4
debian
почти 11 лет назад

The SSL protocol 3.0, as used in OpenSSL through 1.0.1i and other prod ...

suse-cvrf логотип

openSUSE-SU-2017:0980-1

suse-cvrf
больше 8 лет назад

Security update for slrn

suse-cvrf логотип

SUSE-RU-2015:1175-1

suse-cvrf
около 10 лет назад

Recommended update for Package Management Stack

EPSS

Процентиль: 100%
0.94196
Критический

5 Medium

CVSS2

Уязвимость CVE-2014-3566