検出

OpenSSL の SSL_OP_NETSCAPE_REUSE_CIPHER_CHANGE_BUG の暗号パッケージの無効な暗号の問題

medium Nessus プラグイン ID 51893

Language:

概要

リモートホストにより、無効な暗号を使った SSL セッションを再開できます。

説明

リモートホストにインストールされているバージョンの OpenSSL が、セッションの再開時に、
無効な暗号を使用できることが示されています。つまり、盗聴などによって SSL 接続の開始を知った攻撃者は、OpenSSL セッションキャッシュを操作することにより、セッションをその後再開し、攻撃者が選択した弱い暗号を使用するようにできます。

ソリューション

OpenSSL 0.9.8j または以降にアップグレードしてください。

プラグインの詳細

深刻度: Medium

ID: 51893

ファイル名: openssl_resume_disabled_cipher.nasl

バージョン: 1.15

タイプ: remote

ファミリー: General

公開日: 2011/2/7

更新日: 2022/4/11

設定: 徹底したチェックを有効にする

サポートされているセンサー: Nessus

リスク情報

VPR

リスクファクター: Low

スコア: 3.4

CVSS v2

リスクファクター: Medium

基本値: 4.3

現状値: 3.2

ベクトル: CVSS2#AV:N/AC:M/Au:N/C:N/I:P/A:N

脆弱性情報

CPE: cpe:/a:openssl:openssl

必要な KB アイテム: SSL/Resume/Disabled

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2008/9/22

脆弱性公開日: 2010/12/2

参照情報

CVE: CVE-2008-7270

BID: 45254