OpenSSL 1.1.1 < 1.1.1m 弱點
medium Nessus Plugin ID 157228
語系:
Synopsis
遠端服務受到一個弱點的影響。描述
遠端主機上安裝的 OpenSSL 版本比 1.1.1m 舊。因此,其會受到 1.1.1m 公告中提及的一個弱點影響。- MIPS32 和 MIPS64 平方程序中有一個進位傳送錯誤。許多 EC 演算法都受到影響,包括某些 TLS 1.3 預設曲線。未詳細分析影響的原因在於,無法滿足攻擊的各項先決條件,而且涉及到重複使用私密金鑰。分析資料指出,因此缺陷而對 RSA 與 DSA 所發動的攻擊極難執行,而且可能性不高。對 DH 發動攻擊是可行的 (但難度極高),因為推算私密金鑰相關資訊所需的多數工作可以於離線執行。此類攻擊所需的資源量極大。但是,若要成功在 TLS 上發起攻擊,伺服器必須在多個用戶端之間共用 DH 私密金鑰 (自 CVE-2016-0701 版本以來,已不提供此選項)。OpenSSL 1.0.2、 1.1.1 和 3.0.0 會受到此問題影響。It was addressed in the releases of 1.1.1m and 3.0.1 on the 15th of December 2021. For the 1.0.2 release it is addressed in git commit 6fc1aaaf3 that is available to premium support customers only. 發布 1.0.2zc 版本時,將提供 git commit 6fc1aaaf3。此問題僅影響 MIPS 平台上的 OpenSSL。已在 OpenSSL 1.1.1m 中修正 (受影響的是 1.1.1-1.1.1l)。(CVE-2021-4160)
請注意,Nessus 並未測試此問題,而是僅依據應用程式自我報告的版本號碼作出判斷。
解決方案
升級至 OpenSSL 1.1.1m 或更新版本。另請參閱
Plugin 詳細資訊
嚴重性: Medium
ID: 157228
檔案名稱: openssl_1_1_1m.nasl
版本: 1.2
類型: remote
系列: Web Servers
已發布: 2022/1/28
已更新: 2022/1/28
風險資訊
VPR
風險因素: Medium
分數: 4.4
CVSS v2
風險因素: Medium
基本分數: 4.3
時間分數: 3.2
媒介: AV:N/AC:M/Au:N/C:P/I:N/A:N
時間媒介: E:U/RL:OF/RC:C
CVSS 評分資料來源: CVE-2021-4160
CVSS v3
風險因素: Medium
基本分數: 5.9
時間分數: 5.2
媒介: CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:N
時間媒介: E:U/RL:O/RC:C
弱點資訊
CPE: cpe:/a:openssl:openssl
必要的 KB 項目: openssl/port
可輕鬆利用: No known exploits are available
修補程式發佈日期: 2022/1/28
弱點發布日期: 2022/1/28
參考資訊
CVE: CVE-2021-4160