OpenSSL 多个版本密码集降级攻击漏洞

admin

0
文章

0
评论

2023-12-09 04:41:28 Ali_nvd 来源：ZONE.CI 全球网 0 阅读模式

低危 OpenSSL 多个版本密码集降级攻击漏洞

CVE编号

CVE-2010-4180

利用情况

暂无

补丁情况

官方补丁

披露时间

2010-12-07

漏洞描述

0.9.8q 之前的 OpenSSL 和 1.0.0c 之前的 1.0.X，当启用了 ssl _ op _ netscap_ reuse _ cipher_ 这允许远程攻击者通过涉及嗅探网络流量的向量来强制降级为意外密码，以发现会话标识符。

解决建议

OpenSSL 1.0.0c已经修复此漏洞，建议用户下载使用：http://openssl.org/

参考链接
http://cvs.openssl.org/chngview?cn=20131
http://h20000.www2.hp.com/bizsupport/TechSupport/Document.jsp?objectID=c02794777
http://lists.apple.com/archives/security-announce/2011//Jun/msg00000.html
http://lists.fedoraproject.org/pipermail/package-announce/2010-December/052027.html
http://lists.fedoraproject.org/pipermail/package-announce/2010-December/052315.html
http://lists.opensuse.org/opensuse-security-announce/2011-01/msg00003.html
http://lists.opensuse.org/opensuse-security-announce/2011-05/msg00005.html
http://lists.opensuse.org/opensuse-security-announce/2011-07/msg00013.html
http://lists.opensuse.org/opensuse-security-announce/2011-07/msg00014.html
http://marc.info/?l=bugtraq&m=129916880600544&w=2
http://marc.info/?l=bugtraq&m=130497251507577&w=2
http://marc.info/?l=bugtraq&m=132077688910227&w=2
http://openssl.org/news/secadv_20101202.txt
http://osvdb.org/69565
http://secunia.com/advisories/42469
http://secunia.com/advisories/42473
http://secunia.com/advisories/42493
http://secunia.com/advisories/42571
http://secunia.com/advisories/42620
http://secunia.com/advisories/42811
http://secunia.com/advisories/42877
http://secunia.com/advisories/43169
http://secunia.com/advisories/43170
http://secunia.com/advisories/43171
http://secunia.com/advisories/43172
http://secunia.com/advisories/43173
http://secunia.com/advisories/44269
http://slackware.com/security/viewer.php?l=slackware-security&y=2010&m=slackw...
http://support.apple.com/kb/HT4723
http://ubuntu.com/usn/usn-1029-1
http://www.debian.org/security/2011/dsa-2141
http://www.kb.cert.org/vuls/id/737740
http://www.mandriva.com/security/advisories?name=MDVSA-2010:248
http://www.redhat.com/support/errata/RHSA-2010-0977.html
http://www.redhat.com/support/errata/RHSA-2010-0978.html
http://www.redhat.com/support/errata/RHSA-2010-0979.html
http://www.redhat.com/support/errata/RHSA-2011-0896.html
http://www.securityfocus.com/archive/1/522176
http://www.securityfocus.com/bid/45164
http://www.securitytracker.com/id?1024822
http://www.vupen.com/english/advisories/2010/3120
http://www.vupen.com/english/advisories/2010/3122
http://www.vupen.com/english/advisories/2010/3134
http://www.vupen.com/english/advisories/2010/3188
http://www.vupen.com/english/advisories/2011/0032
http://www.vupen.com/english/advisories/2011/0076
http://www.vupen.com/english/advisories/2011/0268
https://bugzilla.redhat.com/show_bug.cgi?id=659462
https://kb.bluecoat.com/index?page=content&id=SA53&actp=LIST
https://oval.cisecurity.org/repository/search/definition/oval%3Aorg.mitre.ova...

受影响软件情况

1
#	类型	厂商	产品	版本	影响面
	运行在以下环境
	应用	openssl	openssl	*		Up to (including) 0.9.8p
	运行在以下环境
	应用	openssl	openssl	0.9.1c	-
	运行在以下环境
	应用	openssl	openssl	0.9.2b	-
	运行在以下环境
	应用	openssl	openssl	0.9.3	-
	运行在以下环境
	应用	openssl	openssl	0.9.3a	-
	运行在以下环境
	应用	openssl	openssl	0.9.4	-
	运行在以下环境
	应用	openssl	openssl	0.9.5	-
	运行在以下环境
	应用	openssl	openssl	0.9.5a	-
	运行在以下环境
	应用	openssl	openssl	0.9.6	-
	运行在以下环境
	应用	openssl	openssl	0.9.6a	-
	运行在以下环境
	应用	openssl	openssl	0.9.6b	-
	运行在以下环境
	应用	openssl	openssl	0.9.6c	-
	运行在以下环境
	应用	openssl	openssl	0.9.6d	-
	运行在以下环境
	应用	openssl	openssl	0.9.6e	-
	运行在以下环境
	应用	openssl	openssl	0.9.6f	-
	运行在以下环境
	应用	openssl	openssl	0.9.6g	-
	运行在以下环境
	应用	openssl	openssl	0.9.6h	-
	运行在以下环境
	应用	openssl	openssl	0.9.6i	-
	运行在以下环境
	应用	openssl	openssl	0.9.6j	-
	运行在以下环境
	应用	openssl	openssl	0.9.6k	-
	运行在以下环境
	应用	openssl	openssl	0.9.6l	-
	运行在以下环境
	应用	openssl	openssl	0.9.6m	-
	运行在以下环境
	应用	openssl	openssl	0.9.7	-
	运行在以下环境
	应用	openssl	openssl	0.9.7a	-
	运行在以下环境
	应用	openssl	openssl	0.9.7b	-
	运行在以下环境
	应用	openssl	openssl	0.9.7c	-
	运行在以下环境
	应用	openssl	openssl	0.9.7d	-
	运行在以下环境
	应用	openssl	openssl	0.9.7e	-
	运行在以下环境
	应用	openssl	openssl	0.9.7f	-
	运行在以下环境
	应用	openssl	openssl	0.9.7g	-
	运行在以下环境
	应用	openssl	openssl	0.9.7h	-
	运行在以下环境
应用	openssl	openssl	0.9.7i	-
运行在以下环境
应用	openssl	openssl	0.9.7j	-
运行在以下环境
应用	openssl	openssl	0.9.7k	-
运行在以下环境
应用	openssl	openssl	0.9.7l	-
运行在以下环境
应用	openssl	openssl	0.9.7m	-
运行在以下环境
应用	openssl	openssl	0.9.8	-
运行在以下环境
应用	openssl	openssl	0.9.8a	-
运行在以下环境
应用	openssl	openssl	0.9.8b	-
运行在以下环境
应用	openssl	openssl	0.9.8c	-
运行在以下环境
应用	openssl	openssl	0.9.8d	-
运行在以下环境
应用	openssl	openssl	0.9.8e	-
运行在以下环境
应用	openssl	openssl	0.9.8f	-
运行在以下环境
应用	openssl	openssl	0.9.8g	-
运行在以下环境
应用	openssl	openssl	0.9.8h	-
运行在以下环境
应用	openssl	openssl	0.9.8i	-
运行在以下环境
应用	openssl	openssl	0.9.8j	-
运行在以下环境
应用	openssl	openssl	0.9.8k	-
运行在以下环境
应用	openssl	openssl	0.9.8l	-
运行在以下环境
应用	openssl	openssl	0.9.8m	-
运行在以下环境
应用	openssl	openssl	0.9.8n	-
运行在以下环境
应用	openssl	openssl	0.9.8o	-
运行在以下环境
应用	openssl	openssl	1.0.0	-
运行在以下环境
应用	openssl	openssl	1.0.0a	-
运行在以下环境
应用	openssl	openssl	1.0.0b	-
运行在以下环境
系统	centos_5	openssl-devel	*		Up to (excluding) 0.9.8e-12.el5_5.7
运行在以下环境
系统	debian_10	openssl	*		Up to (excluding) 0.9.8o-4
运行在以下环境
系统	debian_11	openssl	*		Up to (excluding) 0.9.8o-4
运行在以下环境
系统	debian_12	openssl	*		Up to (excluding) 0.9.8o-4
运行在以下环境
系统	debian_5.0	openssl	*		Up to (excluding) 0.9.8g-15+lenny11
运行在以下环境
系统	debian_sid	openssl	*		Up to (excluding) 0.9.8o-4
运行在以下环境
系统	opensuse_11.3	compat-openssl097g-32bit	*		Up to (excluding) 0.9.7g-155.3.1
运行在以下环境
系统	opensuse_11.4	compat-openssl097g-32bit	*		Up to (excluding) 0.9.7g-158.159.1
运行在以下环境
系统	oracle_5	oraclelinux-release	*		Up to (excluding) 0.9.8e-12.el5_5.7
运行在以下环境
系统	oracle_6	oraclelinux-release	*		Up to (excluding) 1.0.0-4.el6_0.2
运行在以下环境
系统	redhat_5	openssl	*		Up to (excluding) 0:0.9.8e-12.el5_5.7
运行在以下环境
系统	redhat_6	openssl	*		Up to (excluding) 0:1.0.0-4.el6_0.2
运行在以下环境
系统	suse_12	libopenssl0_9_8	*		Up to (excluding) 4.8.6-7.1
运行在以下环境
系统	suse_12_SP1	libqt4-x11-32bit	*		Up to (excluding) 4.8.6-7.1