CVE编号
CVE-2003-0078利用情况
暂无补丁情况
官方补丁披露时间
2003-03-03漏洞描述
如果使用了错误的分组密码填充,则s3_pkt.c中s3_pkt.c中的ssl3_get_record对于0.9.7a之前的OpenSSL和0.9.6i之前的0.9.6不会执行MAC计算,这会导致信息泄漏(时序差异),这可能会使启动更容易依靠区分填充和MAC验证错误的加密攻击,可能导致提取原始明文,也称为“ Vaudenay定时攻击”。解决建议
建议您更新当前系统或软件至最新版,完成漏洞的修复。
参考链接 |
|
|---|---|
| ftp://ftp.netbsd.org/pub/NetBSD/security/advisories/NetBSD-SA2003-001.txt.asc | |
| ftp://patches.sgi.com/support/free/security/advisories/20030501-01-I | |
| http://distro.conectiva.com.br/atualizacoes/?id=a&anuncio=000570 | |
| http://marc.info/?l=bugtraq&m=104567627211904&w=2 | |
| http://marc.info/?l=bugtraq&m=104568426824439&w=2 | |
| http://marc.info/?l=bugtraq&m=104577183206905&w=2 | |
| http://www.ciac.org/ciac/bulletins/n-051.shtml | |
| http://www.debian.org/security/2003/dsa-253 | |
| http://www.iss.net/security_center/static/11369.php | |
| http://www.linuxsecurity.com/advisories/engarde_advisory-2874.html | |
| http://www.mandrakesoft.com/security/advisories?name=MDKSA-2003:020 | |
| http://www.openssl.org/news/secadv_20030219.txt | |
| http://www.osvdb.org/3945 | |
| http://www.redhat.com/support/errata/RHSA-2003-062.html | |
| http://www.redhat.com/support/errata/RHSA-2003-063.html | |
| http://www.redhat.com/support/errata/RHSA-2003-082.html | |
| http://www.redhat.com/support/errata/RHSA-2003-104.html | |
| http://www.redhat.com/support/errata/RHSA-2003-205.html | |
| http://www.securityfocus.com/bid/6884 | |
| http://www.trustix.org/errata/2003/0005 |
受影响软件情况
| # | 类型 | 厂商 | 产品 | 版本 | 影响面 | ||||
| 1 | |||||||||
|---|---|---|---|---|---|---|---|---|---|
| 运行在以下环境 | |||||||||
| 应用 | openssl | openssl | 0.9.1c | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | openssl | openssl | 0.9.2b | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | openssl | openssl | 0.9.3 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | openssl | openssl | 0.9.4 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | openssl | openssl | 0.9.5 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | openssl | openssl | 0.9.5a | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | openssl | openssl | 0.9.6 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | openssl | openssl | 0.9.6a | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | openssl | openssl | 0.9.6b | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | openssl | openssl | 0.9.6c | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | openssl | openssl | 0.9.6d | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | openssl | openssl | 0.9.6e | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | openssl | openssl | 0.9.6g | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | openssl | openssl | 0.9.6h | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | openssl | openssl | 0.9.7 | - | |||||
| 运行在以下环境 | |||||||||
| 系统 | debian_3.0 | openssl | * |
Up to (excluding) 0.9.6c-2.woody.2 |
|||||
- 攻击路径 远程
- 攻击复杂度 容易
- 权限要求 无需权限
- 影响范围 有限影响
- EXP成熟度 未验证
- 补丁情况 官方补丁
- 数据保密性 无影响
- 数据完整性 传输被破坏
- 服务器危害 无影响
- 全网数量 N/A
还没有评论,来说两句吧...