WinSCP のハートビートの情報漏洩(Heartbleed)
high Nessus プラグイン ID 73613
Language:
概要
リモート Windows ホストに、複数の脆弱性の影響を受けるアプリケーションがあります。説明
リモートホストにインストールされている WinSCP プログラムのバージョンは、4.3.7 より後の 4.x、5.0.6 より後で 5.5.3 より前の 5.x です。したがって、次の脆弱性の影響を受けます。- An out-of-bounds read error, known as the 'Heartbleed Bug', exists related to handling TLS heartbeat extensions that allow an attacker to obtain sensitive information such as primary key material, secondary key material, and other protected content. (CVE-2014-0160)
- X.509 証明書、TLS での FTP、およびホスト検証に関連するエラーが存在するため、攻撃者は、サーバーを偽装して、機密情報を入手する可能性があります。
(CVE-2014-2735)
ソリューション
WinSCP バージョン 5.5.3 またはそれ以降にアップグレードしてください。参考資料
https://seclists.org/bugtraq/2014/Apr/90
https://winscp.net/tracker/show_bug.cgi?id=1151
https://winscp.net/tracker/show_bug.cgi?id=1152
https://winscp.net/eng/docs/history#5.5.3
http://eprint.iacr.org/2014/140
プラグインの詳細
深刻度: High
ID: 73613
ファイル名: winscp_5_5_3.nasl
バージョン: 1.14
タイプ: local
エージェント: windows
ファミリー: Windows
公開日: 2014/4/18
更新日: 2023/4/25
サポートされているセンサー: Nessus Agent, Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 6.9
CVSS v2
リスクファクター: Medium
基本値: 5.8
現状値: 4.8
ベクトル: CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:N
CVSS スコアのソース: CVE-2014-2735
CVSS v3
リスクファクター: High
基本値: 7.5
現状値: 7
ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
現状ベクトル: CVSS:3.0/E:F/RL:O/RC:C
CVSS スコアのソース: CVE-2014-0160
脆弱性情報
CPE: cpe:/a:winscp:winscp
必要な KB アイテム: installed_sw/WinSCP
エクスプロイトが利用可能: true
エクスプロイトの容易さ: Exploits are available
パッチ公開日: 2014/4/14
脆弱性公開日: 2014/2/24
CISA の既知の悪用された脆弱性の期限日: 2022/5/25
エクスプロイト可能
Core Impact
参照情報
CVE: CVE-2014-0160, CVE-2014-2735
CERT: 720951