OpenSSL SSL_OP_NETSCAPE_REUSE_CIPHER_CHANGE_BUG 加密套件已禁用密码问题

medium Nessus 插件 ID 51893

简介

远程主机允许使用禁用的密码恢复 SSL 会话。

描述

已确认远程主机上的 OpenSSL 版本允许在恢复会话时使用已禁用的密码。这意味着能够获知(也就是使用嗅探)SSL 连接的启动的攻击者可以操纵 OpenSSL 会话缓存,导致在恢复该会话之后,它会使用攻击者选择的已禁用的密码。

解决方案

升级到 OpenSSL 0.9.8j 或更高版本。

插件详情

严重性: Medium

ID: 51893

文件名: openssl_resume_disabled_cipher.nasl

版本: 1.15

类型: remote

系列: General

发布时间: 2011/2/7

最近更新时间: 2022/4/11

配置: 启用彻底检查

风险信息

VPR

风险因素: Low

分数: 3.4

CVSS v2

风险因素: Medium

基本分数: 4.3

时间分数: 3.2

矢量: AV:N/AC:M/Au:N/C:N/I:P/A:N

时间矢量: E:U/RL:OF/RC:C

漏洞信息

CPE: cpe:/a:openssl:openssl

必需的 KB 项: SSL/Resume/Disabled

易利用性: No known exploits are available

补丁发布日期: 2008/9/22

漏洞发布日期: 2010/12/2

参考资料信息

CVE: CVE-2008-7270

BID: 45254