低危 Oracle Enterprise Session Border Controller up to Ecz7.3m2p2 OpenSSL 拒绝服务漏洞

CVE编号

CVE-2015-3195

利用情况

暂无

补丁情况

官方补丁

披露时间

2015-12-07

漏洞描述

OpenSSL是一款开放源码的SSL实现,用来实现网络通信的高强度加密。 OpenSSL处理X509_ATTRIBUTE存在安全漏洞，远程攻击者可利用漏洞发送包含特殊X509_ATTRIBUTE结构的消息触发内存泄露，攻击者可获取敏感信息。

解决建议

OpenSSL 0.9.8zh, 1.0.0t, 1.0.1q, 1.0.2e已经修复该漏洞，建议用户修复更新：https://www.openssl.org

参考链接
http://fortiguard.com/advisory/openssl-advisory-december-2015
http://kb.juniper.net/InfoCenter/index?page=content&id=JSA10733
http://kb.juniper.net/InfoCenter/index?page=content&id=JSA10759
http://kb.juniper.net/InfoCenter/index?page=content&id=JSA10761
http://lists.apple.com/archives/security-announce/2016/Mar/msg00004.html
http://lists.fedoraproject.org/pipermail/package-announce/2015-December/173801.html
http://lists.opensuse.org/opensuse-security-announce/2016-03/msg00009.html
http://lists.opensuse.org/opensuse-security-announce/2016-03/msg00011.html
http://lists.opensuse.org/opensuse-security-announce/2016-03/msg00017.html
http://lists.opensuse.org/opensuse-updates/2015-12/msg00070.html
http://lists.opensuse.org/opensuse-updates/2015-12/msg00071.html
http://lists.opensuse.org/opensuse-updates/2015-12/msg00087.html
http://lists.opensuse.org/opensuse-updates/2015-12/msg00103.html
http://marc.info/?l=bugtraq&m=145382583417444&w=2
http://openssl.org/news/secadv/20151203.txt
http://rhn.redhat.com/errata/RHSA-2015-2616.html
http://rhn.redhat.com/errata/RHSA-2015-2617.html
http://rhn.redhat.com/errata/RHSA-2016-2056.html
http://rhn.redhat.com/errata/RHSA-2016-2957.html
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa...
http://www.debian.org/security/2015/dsa-3413
http://www.fortiguard.com/advisory/openssl-advisory-december-2015
http://www.oracle.com/technetwork/security-advisory/cpuapr2016v3-2985753.html
http://www.oracle.com/technetwork/security-advisory/cpujan2018-3236628.html
http://www.oracle.com/technetwork/security-advisory/cpujul2016-2881720.html
http://www.oracle.com/technetwork/security-advisory/cpujul2017-3236622.html
http://www.oracle.com/technetwork/security-advisory/cpuoct2016-2881722.html
http://www.oracle.com/technetwork/security-advisory/cpuoct2017-3236626.html
http://www.oracle.com/technetwork/topics/security/bulletinjan2016-2867206.html
http://www.oracle.com/technetwork/topics/security/cpujan2016-2367955.html
http://www.oracle.com/technetwork/topics/security/linuxbulletinoct2015-2719645.html
http://www.oracle.com/technetwork/topics/security/ovmbulletinjul2016-3090546.html
http://www.securityfocus.com/bid/78626
http://www.securityfocus.com/bid/91787
http://www.securitytracker.com/id/1034294
http://www.slackware.com/security/viewer.php?l=slackware-security&y=2015&m=sl...
http://www.ubuntu.com/usn/USN-2830-1
https://cert-portal.siemens.com/productcert/pdf/ssa-412672.pdf
https://git.openssl.org/?p=openssl.git%3Ba=commit%3Bh=cc598f321fbac9c04da5766...
https://h20566.www2.hpe.com/portal/site/hpsc/public/kb/docDisplay?docId=emr_n...
https://h20566.www2.hpe.com/portal/site/hpsc/public/kb/docDisplay?docId=emr_n...
https://h20566.www2.hpe.com/portal/site/hpsc/public/kb/docDisplay?docId=emr_n...
https://h20566.www2.hpe.com/portal/site/hpsc/public/kb/docDisplay?docId=emr_n...
https://h20566.www2.hpe.com/portal/site/hpsc/public/kb/docDisplay?docId=emr_n...
https://h20566.www2.hpe.com/portal/site/hpsc/public/kb/docDisplay?docId=emr_n...
https://kb.pulsesecure.net/articles/Pulse_Security_Advisories/SA40100
https://support.apple.com/HT206167

受影响软件情况

#	类型	厂商	产品	版本	影响面
1
	运行在以下环境
	应用	openssl	openssl	0.9.8zg	-
	运行在以下环境
	应用	openssl	openssl	1.0.0	-
	运行在以下环境
	应用	openssl	openssl	1.0.0a	-
	运行在以下环境
	应用	openssl	openssl	1.0.0b	-
	运行在以下环境
	应用	openssl	openssl	1.0.0c	-
	运行在以下环境
	应用	openssl	openssl	1.0.0d	-
	运行在以下环境
	应用	openssl	openssl	1.0.0e	-
	运行在以下环境
	应用	openssl	openssl	1.0.0f	-
	运行在以下环境
	应用	openssl	openssl	1.0.0g	-
	运行在以下环境
	应用	openssl	openssl	1.0.0h	-
	运行在以下环境
	应用	openssl	openssl	1.0.0i	-
	运行在以下环境
	应用	openssl	openssl	1.0.0j	-
	运行在以下环境
	应用	openssl	openssl	1.0.0k	-
	运行在以下环境
	应用	openssl	openssl	1.0.0l	-
	运行在以下环境
	应用	openssl	openssl	1.0.0m	-
	运行在以下环境
	应用	openssl	openssl	1.0.0n	-
	运行在以下环境
	应用	openssl	openssl	1.0.0o	-
	运行在以下环境
	应用	openssl	openssl	1.0.0p	-
	运行在以下环境
	应用	openssl	openssl	1.0.0q	-
	运行在以下环境
	应用	openssl	openssl	1.0.0r	-
	运行在以下环境
	应用	openssl	openssl	1.0.0s	-
	运行在以下环境
	应用	openssl	openssl	1.0.1a	-
	运行在以下环境
	应用	openssl	openssl	1.0.1b	-
	运行在以下环境
	应用	openssl	openssl	1.0.1c	-
	运行在以下环境
	应用	openssl	openssl	1.0.1d	-
	运行在以下环境
	应用	openssl	openssl	1.0.1e	-
	运行在以下环境
	应用	openssl	openssl	1.0.1f	-
	运行在以下环境
	应用	openssl	openssl	1.0.1g	-
	运行在以下环境
	应用	openssl	openssl	1.0.1h	-
	运行在以下环境
	应用	openssl	openssl	1.0.1i	-
	运行在以下环境
	应用	openssl	openssl	1.0.1j	-
	运行在以下环境
应用	openssl	openssl	1.0.1k	-
运行在以下环境
应用	openssl	openssl	1.0.1l	-
运行在以下环境
应用	openssl	openssl	1.0.1m	-
运行在以下环境
应用	openssl	openssl	1.0.1n	-
运行在以下环境
应用	openssl	openssl	1.0.1o	-
运行在以下环境
应用	openssl	openssl	1.0.1p	-
运行在以下环境
应用	openssl	openssl	1.0.2	-
运行在以下环境
应用	openssl	openssl	1.0.2a	-
运行在以下环境
应用	openssl	openssl	1.0.2b	-
运行在以下环境
应用	openssl	openssl	1.0.2c	-
运行在以下环境
应用	openssl	openssl	1.0.2d	-
运行在以下环境
应用	oracle	api_gateway	11.1.2.3.0	-
运行在以下环境
应用	oracle	api_gateway	11.1.2.4.0	-
运行在以下环境
应用	oracle	exalogic_infrastructure	1.0	-
运行在以下环境
应用	oracle	exalogic_infrastructure	2.0	-
运行在以下环境
应用	oracle	life_sciences_data_hub	2.1	-
运行在以下环境
应用	oracle	sun_ray_software	11.1	-
运行在以下环境
应用	oracle	transportation_management	6.1	-
运行在以下环境
应用	oracle	transportation_management	6.2	-
运行在以下环境
应用	oracle	vm_virtualbox	*	From (including) 4.3.0	Up to (including) 4.3.36
运行在以下环境
应用	oracle	vm_virtualbox	*	From (including) 5.0.0	Up to (including) 5.0.14
运行在以下环境
系统	apple	mac_os_x	*		Up to (including) 10.11.3
运行在以下环境
系统	canonical	ubuntu_linux	12.04	-
运行在以下环境
系统	canonical	ubuntu_linux	14.04	-
运行在以下环境
系统	canonical	ubuntu_linux	15.04	-
运行在以下环境
系统	canonical	ubuntu_linux	15.10	-
运行在以下环境
系统	debian	debian_linux	7.0	-
运行在以下环境
系统	debian	debian_linux	8.0	-
运行在以下环境
系统	redhat	enterprise_linux_desktop	5.0	-
运行在以下环境
系统	redhat	enterprise_linux_desktop	6.0	-
运行在以下环境
系统	redhat	enterprise_linux_desktop	7.0	-
运行在以下环境
系统	redhat	enterprise_linux_server	5.0	-
运行在以下环境
系统	redhat	enterprise_linux_server	6.0	-
运行在以下环境
系统	redhat	enterprise_linux_server	7.0	-
运行在以下环境
系统	redhat	enterprise_linux_server_aus	7.2	-
运行在以下环境
系统	redhat	enterprise_linux_server_aus	7.3	-
运行在以下环境
系统	redhat	enterprise_linux_server_aus	7.4	-
运行在以下环境
系统	redhat	enterprise_linux_server_eus	6.7	-
运行在以下环境
系统	redhat	enterprise_linux_server_eus	7.2	-
运行在以下环境
系统	redhat	enterprise_linux_server_eus	7.3	-
运行在以下环境
系统	redhat	enterprise_linux_server_eus	7.4	-
运行在以下环境
系统	redhat	enterprise_linux_server_eus	7.5	-
运行在以下环境
系统	redhat	enterprise_linux_server_eus	7.6	-
运行在以下环境
系统	redhat	enterprise_linux_server_tus	7.2	-
运行在以下环境
系统	redhat	enterprise_linux_server_tus	7.3	-
运行在以下环境
系统	redhat	enterprise_linux_server_tus	7.6	-
运行在以下环境
系统	redhat	enterprise_linux_workstation	5.0	-
运行在以下环境
系统	redhat	enterprise_linux_workstation	6.0	-
运行在以下环境
系统	redhat	enterprise_linux_workstation	7.0	-
运行在以下环境
系统	redhat_5	openssl	*		Up to (excluding) 0:0.9.8e-37.el5_11
运行在以下环境
系统	redhat_7	openssl	*		Up to (excluding) 0:1.0.1e-42.el6_7.1
运行在以下环境
系统	suse_12	sles12-docker-image	*		Up to (excluding) 1.1.1-20160307082632
运行在以下环境
系统	ubuntu_12.04.5_lts	openssl	*		Up to (excluding) 1.0.1-4ubuntu5.32
运行在以下环境
系统	ubuntu_14.04.6_lts	openssl	*		Up to (excluding) 1.0.1f-1ubuntu2.16
运行在以下环境
系统	ubuntu_16.04.7_lts	openssl	*		Up to (excluding) 1.0.2e-1ubuntu1
运行在以下环境
系统	ubuntu_18.04.5_lts	openssl	*		Up to (excluding) 1.0.2e-1ubuntu1
运行在以下环境
系统	ubuntu_18.10	openssl	*		Up to (excluding) 1.0.2e-1ubuntu1

阿里云评分 3.1

• 攻击路径 远程
• 攻击复杂度 复杂
• 权限要求 无需权限
• 影响范围 有限影响
• EXP成熟度 未验证
• 补丁情况 官方补丁
• 数据保密性 无影响
• 数据完整性 无影响
• 服务器危害 无影响
• 全网数量 100

CWE-ID	漏洞类型
CWE-200	信息暴露

Exp相关链接

- avd.aliyun.com