CVE-2023-0464

2023. március 30. 10:59

OpenSSL Project OpenSSL, openssl / openssl sérülékenysége
Angol cím: OpenSSL Project OpenSSL, openssl / openssl vulnerability

Publikálás dátuma: 2023.03.22.
Utolsó módosítás dátuma: 2023.03.29.

Leírás

Nem megfelelő tanúsítvány-ellenőrzés: A program nem, vagy nem megfelelően ellenőrzi a tanúsítványokat.

Leírás forrása: CWE-295

Elemzés leírás

Eredeti nyelven: A security vulnerability has been identified in all supported versions of OpenSSL related to the verification of X.509 certificate chains that include policy constraints. Attackers may be able to exploit this vulnerability by creating a malicious certificate chain that triggers exponential use of computational resources, leading to a denial-of-service (DoS) attack on affected systems. Policy processing is disabled by default but can be enabled by passing the `-policy’ argument to the command line utilities or by calling the `X509_VERIFY_PARAM_set1_policies()’ function.

Elemzés leírás forrása: CVE-2023-0464

Hatás

CVSS3.1 Súlyosság és Metrika

Alap pontszám: 7.5 (Magas)
Vektor: AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
Hatás pontszáma: 3.6
Kihasználhatóság pontszáma: 3.9

Támadás Vektora (AV): Hálózat
Támadás komplexitása (AC): Alacsony
Jogosultság Szükséges (PR): Nincs
Felhasználói Interakció (UI): Nincs
Hatókör (S): Nem változott
Bizalmasság Hatása (C): Nincs
Sértetlenség Hatása (I): Nincs
Rendelkezésre állás Hatása (A): Magas

Hivatkozások

git.openssl.org
git.openssl.org
git.openssl.org
www.openssl.org

Sérülékeny szoftverek

OpenSSL Project OpenSSL 1.0.2-tól 1.0.2zh előttig
OpenSSL Project OpenSSL 1.1.1-tól 1.1.1u előttig
OpenSSL Project OpenSSL 3.0.0-tól 3.0.9 előttig
openssl / openssl 3.1.0-tól 3.1.1 előttig