OpenSSL sérülékenysége

CH azonosító

CH-13838

Angol cím

OpenSSL Eliptic Curve Key Recovery Information Disclosure Vulnerability

Felfedezés dátuma

2017.01.09.

Súlyosság

Alacsony

Érintett rendszerek

OpenSSL
OpenSSL Software Foundation

Érintett verziók

OpenSSL
1.0.1u és azt megelőző verziók

Összefoglaló

Az OpenSSL alacsony kockázati besorolású sérülékenysége vált ismertté, melyet kihasználva a támadó szenzitív információkat szerezhet meg.

Leírás

A sérülékenységet az OpenSSL “crypto/ecdsa/ecdsa_ossl.c” kódjának hibája okozza, amit kihasználva a támadó hozzáférhet az elliptikus görbén alapulós digitális aláírás (ECDSA – Elliptic Curve Digital Signature Algorithm) P-256 privát kulcsához. Ez a későbbiekben további támadásokhoz is felhasználható lehet.

Megoldás

Jelenleg nincs megoldás a sérülékenységre.

Javaslat:

  •  csak megbízható felhasználóknak engedjen hozzáférést a helyi rendszerhez
  •  csak kiemelt jogú felhasználóknak engedjen hozzáférést az adminisztrátori és a menedzsment rendszerekhez

Legfrissebb sérülékenységek
CVE-2024-53104 – Linux Kernel sérülékenysége
CVE-2023-41348 – ASUS RT-AX55 sérülékenysége
CVE-2023-41347 – ASUS RT-AX55 sérülékenysége
CVE-2023-41346 – ASUS RT-AX55 sérülékenysége
CVE-2023-41345 – ASUS RT-AX55 sérülékenysége
CVE-2023-39780 – ASUS RT-AX55 Routers OS Command Injection sérülékenysége
CVE-2025-35939 – Craft CMS External Control of Assumed-Immutable Web Parameter sérülékenysége
CVE-2025-3935 – ConnectWise ScreenConnect Improper Authentication sérülékenysége
CVE-2021-32030 – ASUS Routers Improper Authentication sérülékenysége
CVE-2025-33072 – Microsoft msagsfeedback.azurewebsites.net Information Disclosure sebezhetősége
Tovább a sérülékenységekhez »