OpenSSL の SSL_OP_NETSCAPE_REUSE_CIPHER_CHANGE_BUG の暗号パッケージの無効な暗号の問題

medium Nessus プラグイン ID 51893

概要

リモートホストにより、無効な暗号を使った SSL セッションを再開できます。

説明

リモートホストにインストールされているバージョンの OpenSSL が、セッションの再開時に、
無効な暗号を使用できることが示されています。つまり、盗聴などによって SSL 接続の開始を知った攻撃者は、OpenSSL セッションキャッシュを操作することにより、セッションをその後再開し、攻撃者が選択した弱い暗号を使用するようにできます。

ソリューション

OpenSSL 0.9.8j または以降にアップグレードしてください。

プラグインの詳細

深刻度: Medium

ID: 51893

ファイル名: openssl_resume_disabled_cipher.nasl

バージョン: 1.15

タイプ: remote

ファミリー: General

公開日: 2011/2/7

更新日: 2022/4/11

構成: 徹底的なチェックを有効にする

リスク情報

VPR

リスクファクター: Low

スコア: 3.4

CVSS v2

リスクファクター: Medium

Base Score: 4.3

Temporal Score: 3.2

ベクトル: AV:N/AC:M/Au:N/C:N/I:P/A:N

現状ベクトル: E:U/RL:OF/RC:C

脆弱性情報

CPE: cpe:/a:openssl:openssl

必要な KB アイテム: SSL/Resume/Disabled

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2008/9/22

脆弱性公開日: 2010/12/2

参照情報

CVE: CVE-2008-7270

BID: 45254