OpenSSL sérülékenysége

2017. január 12. 10:16

CH azonosító

CH-13838

Angol cím

OpenSSL Eliptic Curve Key Recovery Information Disclosure Vulnerability

Felfedezés dátuma

2017.01.09.

Súlyosság

Alacsony

Érintett rendszerek

OpenSSL
OpenSSL Software Foundation

Érintett verziók

OpenSSL
1.0.1u és azt megelőző verziók

Összefoglaló

Az OpenSSL alacsony kockázati besorolású sérülékenysége vált ismertté, melyet kihasználva a támadó szenzitív információkat szerezhet meg.

Leírás

A sérülékenységet az OpenSSL “crypto/ecdsa/ecdsa_ossl.c” kódjának hibája okozza, amit kihasználva a támadó hozzáférhet az elliptikus görbén alapulós digitális aláírás (ECDSA – Elliptic Curve Digital Signature Algorithm) P-256 privát kulcsához. Ez a későbbiekben további támadásokhoz is felhasználható lehet.

Megoldás

Jelenleg nincs megoldás a sérülékenységre.

Javaslat:

csak megbízható felhasználóknak engedjen hozzáférést a helyi rendszerhez
csak kiemelt jogú felhasználóknak engedjen hozzáférést az adminisztrátori és a menedzsment rendszerekhez

Legfrissebb sérülékenységek

CVE-2025-24085 – Apple Multiple Products Use-After-Free sebezhetősége

CVE-2025-23006 – SonicWall SMA1000 Appliances Deserialization sebezhetősége

CVE-2024-3393 – Palo Alto Networks PAN-OS Malicious DNS Packet sebezhetősége

CVE-2025-0282 – Ivanti Connect Secure, Policy Secure, and ZTA Gateways Stack-Based Buffer Overflow sebezhetősége

CVE-2023-48365 – Qlik Sense HTTP Tunneling sebezhetősége

CVE-2024-12686 – BeyondTrust Privileged Remote Access (PRA) and Remote Support (RS) OS Command Injection sebezhetősége

CVE-2024-55591 – Fortinet FortiOS and FortiProxy Authentication Bypass sebezhetősége

CVE-2024-50603 – Aviatrix Controllers OS Command Injection sebezhetősége

CVE-2020-11023 – JQuery Cross-Site Scripting (XSS) sebezhetősége

CVE-2025-21395 – Microsoft Access Remote Code Execution sebezhetősége

Tovább a sérülékenységekhez »

OpenSSL sérülékenysége