OpenSSL Project OpenSSL, openssl / openssl sérülékenysége
Angol cím: OpenSSL Project OpenSSL, openssl / openssl vulnerability
Publikálás dátuma: 2023.03.22.
Utolsó módosítás dátuma: 2023.03.29.
Leírás
Nem megfelelő tanúsítvány-ellenőrzés: A program nem, vagy nem megfelelően ellenőrzi a tanúsítványokat.
Leírás forrása: CWE-295Elemzés leírás
Eredeti nyelven: A security vulnerability has been identified in all supported versions of OpenSSL related to the verification of X.509 certificate chains that include policy constraints. Attackers may be able to exploit this vulnerability by creating a malicious certificate chain that triggers exponential use of computational resources, leading to a denial-of-service (DoS) attack on affected systems. Policy processing is disabled by default but can be enabled by passing the `-policy’ argument to the command line utilities or by calling the `X509_VERIFY_PARAM_set1_policies()’ function.
Elemzés leírás forrása: CVE-2023-0464Hatás
CVSS3.1 Súlyosság és Metrika
Base score: 7.5 (Magas)
Vector: AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
Impact Score: 3.6
Exploitability Score: 3.9
Attack Vector (AV): Network
Attack Complexity (AC): Low
Privileges Required (PR): None
User Interaction (UI): None
Scope (S): Unchanged
Confidentiality Impact (C): None
Integrity Impact (I): None
Availability Impact (A): High
Sérülékeny szoftverek
OpenSSL Project OpenSSL 1.0.2-tól 1.0.2zh előttig
OpenSSL Project OpenSSL 1.1.1-tól 1.1.1u előttig
OpenSSL Project OpenSSL 3.0.0-tól 3.0.9 előttig
openssl / openssl 3.1.0-tól 3.1.1 előttig