Podatność CVE-2014-0016


Publikacja: 2014-03-24

Opis:
stunnel before 5.00, when using fork threading, does not properly update the state of the OpenSSL pseudo-random number generator (PRNG), which causes subsequent children with the same process ID to use the same entropy pool and allows remote attackers to obtain private keys for EC (ECDSA) or DSA certificates.

W naszej bazie, znaleźliśmy następujące noty dla tego CVE:
Tytuł
Autor
Data
Low
libssh and stunnel PRNG flaws
Aris Adamantiadi...
05.03.2014

CVSS2 => (AV:N/AC:M/Au:N/C:P/I:N/A:N)

Ogólna skala CVSS
Znaczenie
Łatwość wykorzystania
4.3/10
2.9/10
8.6/10
Wymagany dostęp
Złożoność ataku
Autoryzacja
Zdalny
Średnia
Nie wymagana
Wpływ na poufność
Wpływ na integralność
Wpływ na dostępność
Częściowy
Brak
Brak
Affected software
Stunnel -> Stunnel 

 Referencje:
http://www.openwall.com/lists/oss-security/2014/03/05/1
http://www.securityfocus.com/bid/65964
https://bugzilla.redhat.com/attachment.cgi?id=870826&action=diff
https://bugzilla.redhat.com/show_bug.cgi?id=1072180
https://www.stunnel.org/sdf_ChangeLog.html

Copyright 2024, cxsecurity.com

 

Back to Top