中危 OpenSSL up to 1.1.0c DHE/ECDHE Key Exchange NULL Pointer Dereference 拒绝服务漏洞
CVE编号
CVE-2017-3730利用情况
POC 已公开补丁情况
官方补丁披露时间
2017-05-05漏洞描述
OpenSSL是一种开放源码的SSL实现,用来实现网络通信的高强度加密。 OpenSSL存在拒绝服务漏洞。由于恶意服务器若向DHE或ECDHE密钥交换提供了畸形的参数,允许攻击者造成客户端崩溃,导致拒绝服务。解决建议
OpenSSL Project已经为此发布了一个安全公告(20170126)以及相应补丁:https://www.openssl.org/news/secadv/20170126.txt受影响软件情况
| # | 类型 | 厂商 | 产品 | 版本 | 影响面 | ||||
| 1 | |||||||||
|---|---|---|---|---|---|---|---|---|---|
| 运行在以下环境 | |||||||||
| 应用 | openssl | openssl | 1.1.0 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | openssl | openssl | 1.1.0a | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | openssl | openssl | 1.1.0b | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | openssl | openssl | 1.1.0c | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | oracle | agile_engineering_data_management | 6.1.3 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | oracle | agile_engineering_data_management | 6.2.0 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | oracle | communications_application_session_controller | 3.7.1 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | oracle | communications_application_session_controller | 3.8.0 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | oracle | communications_eagle_lnp_application_processor | 10.0 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | oracle | communications_eagle_lnp_application_processor | 10.1 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | oracle | communications_eagle_lnp_application_processor | 10.2 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | oracle | communications_operations_monitor | 3.4 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | oracle | communications_operations_monitor | 4.0 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | oracle | jd_edwards_enterpriseone_tools | 9.2 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | oracle | jd_edwards_world_security | a9.1 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | oracle | jd_edwards_world_security | a9.2 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | oracle | jd_edwards_world_security | a9.3 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | oracle | jd_edwards_world_security | a9.4 | - | |||||
| 运行在以下环境 | |||||||||
| 系统 | debian | DPKG | * | Up to (excluding) 1.1.0d-1 | |||||
| 运行在以下环境 | |||||||||
| 系统 | debian_10 | openssl | * | Up to (excluding) 1.1.0d-1 | |||||
| 运行在以下环境 | |||||||||
| 系统 | debian_11 | openssl | * | Up to (excluding) 1.1.0d-1 | |||||
| 运行在以下环境 | |||||||||
| 系统 | debian_12 | openssl | * | Up to (excluding) 1.1.0d-1 | |||||
| 运行在以下环境 | |||||||||
| 系统 | debian_sid | openssl | * | Up to (excluding) 1.1.0d-1 | |||||
- 攻击路径 本地
- 攻击复杂度 复杂
- 权限要求 无需权限
- 影响范围 越权影响
- EXP成熟度 POC 已公开
- 补丁情况 官方补丁
- 数据保密性 数据泄露
- 数据完整性 无影响
- 服务器危害 无影响
- 全网数量 N/A
| CWE-ID | 漏洞类型 |
| CWE-476 | 空指针解引用 |
Exp相关链接
- avd.aliyun.com
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
评论