CVE-2015-1787

Опубликовано: 19 мар. 2015

Источник: redhat

CVSS2: 4.3

EPSS Средний

Описание

The ssl3_get_client_key_exchange function in s3_srvr.c in OpenSSL 1.0.2 before 1.0.2a, when client authentication and an ephemeral Diffie-Hellman ciphersuite are enabled, allows remote attackers to cause a denial of service (daemon crash) via a ClientKeyExchange message with a length of zero.

Отчет

This issue did not affect the versions of openssl as shipped with Red Hat Enterprise Linux 5, 6, and 7.

Затронутые пакеты

Платформа	Пакет	Состояние
Red Hat Enterprise Linux 5	openssl	Not affected
Red Hat Enterprise Linux 5	openssl097a	Not affected
Red Hat Enterprise Linux 6	openssl	Not affected
Red Hat Enterprise Linux 6	openssl098e	Not affected
Red Hat Enterprise Linux 7	openssl	Not affected
Red Hat Enterprise Linux 7	openssl098e	Not affected
Red Hat Enterprise Virtualization 3	mingw-virt-viewer	Not affected
Red Hat JBoss Enterprise Application Platform 6	openssl	Not affected
Red Hat JBoss Enterprise Web Server 1	openssl	Not affected
Red Hat JBoss Enterprise Web Server 2	openssl	Not affected

Показывать по

Ссылки на источники

Дополнительная информация

Статус:

Moderate

Дефект:

CWE-476

https://bugzilla.redhat.com/show_bug.cgi?id=1202406openssl: segmentation fault in client authentication with empty CKE and DHE

EPSS

Процентиль: 94%

0.14935

Средний

4.3 Medium

CVSS2

Связанные уязвимости

CVE-2015-1787

ubuntu

почти 11 лет назад

CVE-2015-1787

nvd

почти 11 лет назад

CVE-2015-1787

debian

почти 11 лет назад

The ssl3_get_client_key_exchange function in s3_srvr.c in OpenSSL 1.0. ...

GHSA-q9c2-pp3c-3qv9

github

больше 3 лет назад

BDU:2015-11034

fstec

почти 11 лет назад

Уязвимость библиотеки OpenSSL, позволяющая нарушителю вызвать отказ в обслуживании

EPSS

Процентиль: 94%

0.14935

Средний

4.3 Medium

CVSS2