OpenSSL 1.0.0 < 1.0.0h 多个漏洞
medium Nessus 插件 ID 58565
语言:
简介
远程主机可能受到多个漏洞的影响。描述
根据其标题,远程 Web 服务器上运行的 OpenSSL 1.0.0 版本低于 1.0.0h 版本。因此,报告显示其受到以下漏洞的影响:函数“mime_hdr_cmp”中存在错误,可导致空指针在解析某些 MIME 标头时被取消引用。(CVE-2006-7250)
- 对 CVE-2011-4619 的修复不完整。
- 加密消息语法 (CMS) 和 PKCS #7 实现中存在错误,使得数据可以通过百万消息攻击 (MMA) 自适应选择加密文本攻击来解密。(CVE-2012-0884)
- 函数“mime_param_cmp”(位于文件“crypto/asn1/asn_mime.c”中)存在错误,可导致空指针在处理某些 S/MIME 内容时被取消引用。(CVE-2012-1165)
请注意,SSL/TLS 应用程序不一定会受影响,但使用 CMS、PKCS #7 和 S/MIME 解密操作的应用程序会受到影响。
解决方案
升级至 OpenSSL 1.0.0h 或更高版本。另见
https://marc.info/?l=openssl-dev&m=115685408414194&w=2
https://www.openssl.org/news/secadv/20120312.txt
https://www.openssl.org/news/changelog.html
https://www.openwall.com/lists/oss-security/2012/03/13/2
插件详情
严重性: Medium
ID: 58565
文件名: openssl_1_0_0h.nasl
版本: 1.12
类型: combined
代理: windows, macosx, unix
系列: Web Servers
发布时间: 2012/4/2
最近更新时间: 2023/8/21
支持的传感器: Nessus Agent, Nessus
风险信息
VPR
风险因素: Low
分数: 3.6
CVSS v2
风险因素: Medium
基本分数: 5
时间分数: 3.7
矢量: CVSS2#AV:N/AC:L/Au:N/C:P/I:N/A:N
CVSS 分数来源: CVE-2006-7250
漏洞信息
CPE: cpe:/a:openssl:openssl
必需的 KB 项: installed_sw/OpenSSL
易利用性: No known exploits are available
补丁发布日期: 2012/2/23
漏洞发布日期: 2006/8/30
参考资料信息
CVE: CVE-2006-7250, CVE-2011-4619, CVE-2012-0884, CVE-2012-1165