ARM mbed TLS验证绕过漏洞

CVE编号

CVE-2017-14032

利用情况

暂无

补丁情况

官方补丁

披露时间

2017-08-31

漏洞描述

ARM mbed TLS是一款为mbed产品提供安全通讯和加密功能的产品。
ARM mbed TLS存在安全漏洞，允许远程攻击者利用漏洞提交特制的请求，绕过身份验证，未授权访问。

解决建议

厂商已发布了漏洞修复程序，请及时关注更新：
https://tls.mbed.org/tech-updates/security-advisories/mbedtls-security-advisory-2017-02

参考链接
http://www.debian.org/security/2017/dsa-3967
https://bugs.debian.org/873557
https://github.com/ARMmbed/mbedtls/commit/31458a18788b0cf0b722acda9bb2f2fe13a3fb32
https://github.com/ARMmbed/mbedtls/commit/d15795acd5074e0b44e71f7ede8bdfe1b48591fc
https://tls.mbed.org/tech-updates/security-advisories/mbedtls-security-adviso...

受影响软件情况

1
#	类型	厂商	产品	版本	影响面
	运行在以下环境
	应用	arm	mbed_tls	1.3.10	-
	运行在以下环境
	应用	arm	mbed_tls	1.3.11	-
	运行在以下环境
	应用	arm	mbed_tls	1.3.12	-
	运行在以下环境
	应用	arm	mbed_tls	1.3.13	-
	运行在以下环境
	应用	arm	mbed_tls	1.3.14	-
	运行在以下环境
	应用	arm	mbed_tls	1.3.15	-
	运行在以下环境
	应用	arm	mbed_tls	1.3.16	-
	运行在以下环境
	应用	arm	mbed_tls	1.3.17	-
	运行在以下环境
	应用	arm	mbed_tls	1.3.18	-
	运行在以下环境
	应用	arm	mbed_tls	1.3.19	-
	运行在以下环境
	应用	arm	mbed_tls	1.3.20	-
	运行在以下环境
	应用	arm	mbed_tls	1.3.21	-
	运行在以下环境
	应用	arm	mbed_tls	2.0.0	-
	运行在以下环境
	应用	arm	mbed_tls	2.1.0	-
	运行在以下环境
	应用	arm	mbed_tls	2.1.1	-
	运行在以下环境
	应用	arm	mbed_tls	2.1.2	-
	运行在以下环境
	应用	arm	mbed_tls	2.1.3	-
	运行在以下环境
	应用	arm	mbed_tls	2.1.4	-
	运行在以下环境
	应用	arm	mbed_tls	2.1.5	-
	运行在以下环境
	应用	arm	mbed_tls	2.1.6	-
	运行在以下环境
	应用	arm	mbed_tls	2.1.7	-
	运行在以下环境
	应用	arm	mbed_tls	2.1.8	-
	运行在以下环境
	应用	arm	mbed_tls	2.1.9	-
	运行在以下环境
	应用	arm	mbed_tls	2.2.0	-
	运行在以下环境
	应用	arm	mbed_tls	2.2.1	-
	运行在以下环境
	应用	arm	mbed_tls	2.3.0	-
	运行在以下环境
	应用	arm	mbed_tls	2.4.0	-
	运行在以下环境
	应用	arm	mbed_tls	2.4.2	-
	运行在以下环境
	应用	arm	mbed_tls	2.5.1	-
	运行在以下环境
	应用	arm	mbed_tls	2.6.2	-
	运行在以下环境
	系统	alpine_3.10	mbedtls	*		Up to (excluding) 2.6.0-r0
	运行在以下环境
系统	alpine_3.11	mbedtls	*		Up to (excluding) 2.6.0-r0
运行在以下环境
系统	alpine_3.12	mbedtls	*		Up to (excluding) 2.6.0-r0
运行在以下环境
系统	alpine_3.13	mbedtls	*		Up to (excluding) 2.6.0-r0
运行在以下环境
系统	alpine_3.14	mbedtls	*		Up to (excluding) 2.6.0-r0
运行在以下环境
系统	alpine_3.15	mbedtls	*		Up to (excluding) 2.6.0-r0
运行在以下环境
系统	alpine_3.7	mbedtls	*		Up to (excluding) 2.6.0-r0
运行在以下环境
系统	alpine_3.8	mbedtls	*		Up to (excluding) 2.6.0-r0
运行在以下环境
系统	alpine_3.9	mbedtls	*		Up to (excluding) 2.6.0-r0
运行在以下环境
系统	alpine_edge	mbedtls	*		Up to (excluding) 2.6.0-r0
运行在以下环境
系统	debian_9	mbedtls	*		Up to (excluding) 2.4.2-1+deb9u1
运行在以下环境
系统	fedora_25	mbedtls	*		Up to (excluding) 2.6.0-1.fc25
运行在以下环境
系统	fedora_26	mbedtls	*		Up to (excluding) 2.6.0-1.fc26
运行在以下环境
系统	fedora_EPEL_6	mbedtls	*		Up to (excluding) 2.6.0-1.el6
运行在以下环境
系统	fedora_EPEL_7	mbedtls	*		Up to (excluding) 2.6.0-1.el7
运行在以下环境
系统	opensuse_Leap_42.2	mbedtls	*		Up to (excluding) 1.3.19-18.1
运行在以下环境
系统	opensuse_Leap_42.3	mbedtls	*		Up to (excluding) 1.3.19-18.1
运行在以下环境
系统	ubuntu_16.04	mbedtls	*		Up to (excluding) 2.2.1-2ubuntu0.2

攻击路径远程
攻击复杂度困难
权限要求无需权限
影响范围有限影响
EXP成熟度未验证
补丁情况官方补丁
数据保密性无影响
数据完整性无影响
服务器危害无影响
全网数量 100

CWE-ID 漏洞类型 CWE-287 认证机制不恰当

正文

ARM mbed TLS验证绕过漏洞

漏洞描述

解决建议

参考链接

受影响软件情况

相关阅读

IBM InfoSphere Master Data Management up to 11.4.0.4 GDS 跨站脚本攻击

IBM Security Network Protection GSKit信息泄露漏洞

IBM Host On-Demand up to 11.0.14 跨站脚本攻击

IBM Tealeaf Customer Experience 至 9.0.2 Replay Server File 路径遍历漏洞

发表评论取消回复

还没有评论，来说两句吧...

目录[+]