openssl: NETSCAPE_REUSE_CIPHER_CHANGE_BUG downgrade-to-disabled ciphersuite攻击

admin

0
文章

0
评论

2023-12-09 04:40:02 Ali_nvd 来源：ZONE.CI 全球网 0 阅读模式

中危 openssl: NETSCAPE_REUSE_CIPHER_CHANGE_BUG downgrade-to-disabled ciphersuite攻击

CVE编号

CVE-2008-7270

利用情况

暂无

补丁情况

没有补丁

披露时间

2010-12-07

漏洞描述

OpenSSL 0.9.8j之前,当启用SSL_OP_NETSCAPE_REUSE_CIPHER_CHANGE_BUG时，不会阻止修改会话高速缓存中的 ciphersuite，这允许远程攻击者通过涉及 sniffing network traffic的矢量强制使用禁用的密码来发现会话标识符，这是一个不同于CVE-2010-4180的漏洞。

解决建议

OpenSSL 0.9.8 j已经修复此漏洞，建议用户下载使用：http://openssl.org/

参考链接
http://cvs.openssl.org/chngview?cn=17489
http://marc.info/?l=bugtraq&m=132077688910227&w=2
http://secunia.com/advisories/42493
http://ubuntu.com/usn/usn-1029-1
http://www.redhat.com/support/errata/RHSA-2010-0977.html
http://www.redhat.com/support/errata/RHSA-2010-0978.html
http://www.redhat.com/support/errata/RHSA-2011-0896.html
http://www.securityfocus.com/archive/1/522176
http://www.securityfocus.com/bid/45254
https://bugzilla.redhat.com/show_bug.cgi?id=659462

受影响软件情况

1
#	类型	厂商	产品	版本	影响面
	运行在以下环境
	应用	openssl	openssl	*		Up to (including) 0.9.8i
	运行在以下环境
	应用	openssl	openssl	0.9.1c	-
	运行在以下环境
	应用	openssl	openssl	0.9.2b	-
	运行在以下环境
	应用	openssl	openssl	0.9.3	-
	运行在以下环境
	应用	openssl	openssl	0.9.3a	-
	运行在以下环境
	应用	openssl	openssl	0.9.4	-
	运行在以下环境
	应用	openssl	openssl	0.9.5	-
	运行在以下环境
	应用	openssl	openssl	0.9.5a	-
	运行在以下环境
	应用	openssl	openssl	0.9.6	-
	运行在以下环境
	应用	openssl	openssl	0.9.6a	-
	运行在以下环境
	应用	openssl	openssl	0.9.6b	-
	运行在以下环境
	应用	openssl	openssl	0.9.6c	-
	运行在以下环境
	应用	openssl	openssl	0.9.6d	-
	运行在以下环境
	应用	openssl	openssl	0.9.6e	-
	运行在以下环境
	应用	openssl	openssl	0.9.6f	-
	运行在以下环境
	应用	openssl	openssl	0.9.6g	-
	运行在以下环境
	应用	openssl	openssl	0.9.6h	-
	运行在以下环境
	应用	openssl	openssl	0.9.6i	-
	运行在以下环境
	应用	openssl	openssl	0.9.6j	-
	运行在以下环境
	应用	openssl	openssl	0.9.6k	-
	运行在以下环境
	应用	openssl	openssl	0.9.6l	-
	运行在以下环境
	应用	openssl	openssl	0.9.6m	-
	运行在以下环境
	应用	openssl	openssl	0.9.7	-
	运行在以下环境
	应用	openssl	openssl	0.9.7a	-
	运行在以下环境
	应用	openssl	openssl	0.9.7b	-
	运行在以下环境
	应用	openssl	openssl	0.9.7c	-
	运行在以下环境
	应用	openssl	openssl	0.9.7d	-
	运行在以下环境
	应用	openssl	openssl	0.9.7e	-
	运行在以下环境
	应用	openssl	openssl	0.9.7f	-
	运行在以下环境
	应用	openssl	openssl	0.9.7g	-
	运行在以下环境
	应用	openssl	openssl	0.9.7h	-
	运行在以下环境
应用	openssl	openssl	0.9.7i	-
运行在以下环境
应用	openssl	openssl	0.9.7j	-
运行在以下环境
应用	openssl	openssl	0.9.7k	-
运行在以下环境
应用	openssl	openssl	0.9.7l	-
运行在以下环境
应用	openssl	openssl	0.9.7m	-
运行在以下环境
应用	openssl	openssl	0.9.8	-
运行在以下环境
应用	openssl	openssl	0.9.8a	-
运行在以下环境
应用	openssl	openssl	0.9.8b	-
运行在以下环境
应用	openssl	openssl	0.9.8c	-
运行在以下环境
应用	openssl	openssl	0.9.8d	-
运行在以下环境
应用	openssl	openssl	0.9.8e	-
运行在以下环境
应用	openssl	openssl	0.9.8f	-
运行在以下环境
应用	openssl	openssl	0.9.8g	-
运行在以下环境
应用	openssl	openssl	0.9.8h	-
运行在以下环境
系统	centos_5	openssl-devel	*		Up to (excluding) 0.9.8e-12.el5_5.7
运行在以下环境
系统	debian_10	openssl	*		Up to (excluding) 0.9.8k-1
运行在以下环境
系统	debian_11	openssl	*		Up to (excluding) 0.9.8k-1
运行在以下环境
系统	debian_12	openssl	*		Up to (excluding) 0.9.8k-1
运行在以下环境
系统	debian_5.0	openssl	*		Up to (excluding) 0.9.8g-15+lenny11
运行在以下环境
系统	debian_sid	openssl	*		Up to (excluding) 0.9.8k-1
运行在以下环境
系统	oracle_5	oraclelinux-release	*		Up to (excluding) 0.9.8e-12.el5_5.7
运行在以下环境
系统	redhat_5	openssl	*		Up to (excluding) 0:0.9.8e-12.el5_5.7
运行在以下环境
系统	suse_10	openssl-32bit	*		Up to (excluding) 0.9.8a-18.43.1