低危 OpenSSL 多个版本密码集降级攻击漏洞

CVE编号

CVE-2010-4180

利用情况

暂无

补丁情况

官方补丁

披露时间

2010-12-07
漏洞描述
0.9.8q 之前的 OpenSSL 和 1.0.0c 之前的 1.0.X,当启用了 ssl _ op _ netscap_ reuse _ cipher_ 这允许远程攻击者通过涉及嗅探网络流量的向量来强制降级为意外密码,以发现会话标识符。

解决建议
OpenSSL 1.0.0c已经修复此漏洞,建议用户下载使用:http://openssl.org/
参考链接
http://cvs.openssl.org/chngview?cn=20131
http://h20000.www2.hp.com/bizsupport/TechSupport/Document.jsp?objectID=c02794777
http://lists.apple.com/archives/security-announce/2011//Jun/msg00000.html
http://lists.fedoraproject.org/pipermail/package-announce/2010-December/052027.html
http://lists.fedoraproject.org/pipermail/package-announce/2010-December/052315.html
http://lists.opensuse.org/opensuse-security-announce/2011-01/msg00003.html
http://lists.opensuse.org/opensuse-security-announce/2011-05/msg00005.html
http://lists.opensuse.org/opensuse-security-announce/2011-07/msg00013.html
http://lists.opensuse.org/opensuse-security-announce/2011-07/msg00014.html
http://marc.info/?l=bugtraq&m=129916880600544&w=2
http://marc.info/?l=bugtraq&m=130497251507577&w=2
http://marc.info/?l=bugtraq&m=132077688910227&w=2
http://openssl.org/news/secadv_20101202.txt
http://osvdb.org/69565
http://secunia.com/advisories/42469
http://secunia.com/advisories/42473
http://secunia.com/advisories/42493
http://secunia.com/advisories/42571
http://secunia.com/advisories/42620
http://secunia.com/advisories/42811
http://secunia.com/advisories/42877
http://secunia.com/advisories/43169
http://secunia.com/advisories/43170
http://secunia.com/advisories/43171
http://secunia.com/advisories/43172
http://secunia.com/advisories/43173
http://secunia.com/advisories/44269
http://slackware.com/security/viewer.php?l=slackware-security&y=2010&m=slackw...
http://support.apple.com/kb/HT4723
http://ubuntu.com/usn/usn-1029-1
http://www.debian.org/security/2011/dsa-2141
http://www.kb.cert.org/vuls/id/737740
http://www.mandriva.com/security/advisories?name=MDVSA-2010:248
http://www.redhat.com/support/errata/RHSA-2010-0977.html
http://www.redhat.com/support/errata/RHSA-2010-0978.html
http://www.redhat.com/support/errata/RHSA-2010-0979.html
http://www.redhat.com/support/errata/RHSA-2011-0896.html
http://www.securityfocus.com/archive/1/522176
http://www.securityfocus.com/bid/45164
http://www.securitytracker.com/id?1024822
http://www.vupen.com/english/advisories/2010/3120
http://www.vupen.com/english/advisories/2010/3122
http://www.vupen.com/english/advisories/2010/3134
http://www.vupen.com/english/advisories/2010/3188
http://www.vupen.com/english/advisories/2011/0032
http://www.vupen.com/english/advisories/2011/0076
http://www.vupen.com/english/advisories/2011/0268
https://bugzilla.redhat.com/show_bug.cgi?id=659462
https://kb.bluecoat.com/index?page=content&id=SA53&actp=LIST
https://oval.cisecurity.org/repository/search/definition/oval%3Aorg.mitre.ova...
受影响软件情况
# 类型 厂商 产品 版本 影响面
1
运行在以下环境
应用 openssl openssl * Up to
(including)
0.9.8p
运行在以下环境
应用 openssl openssl 0.9.1c -
运行在以下环境
应用 openssl openssl 0.9.2b -
运行在以下环境
应用 openssl openssl 0.9.3 -
运行在以下环境
应用 openssl openssl 0.9.3a -
运行在以下环境
应用 openssl openssl 0.9.4 -
运行在以下环境
应用 openssl openssl 0.9.5 -
运行在以下环境
应用 openssl openssl 0.9.5a -
运行在以下环境
应用 openssl openssl 0.9.6 -
运行在以下环境
应用 openssl openssl 0.9.6a -
运行在以下环境
应用 openssl openssl 0.9.6b -
运行在以下环境
应用 openssl openssl 0.9.6c -
运行在以下环境
应用 openssl openssl 0.9.6d -
运行在以下环境
应用 openssl openssl 0.9.6e -
运行在以下环境
应用 openssl openssl 0.9.6f -
运行在以下环境
应用 openssl openssl 0.9.6g -
运行在以下环境
应用 openssl openssl 0.9.6h -
运行在以下环境
应用 openssl openssl 0.9.6i -
运行在以下环境
应用 openssl openssl 0.9.6j -
运行在以下环境
应用 openssl openssl 0.9.6k -
运行在以下环境
应用 openssl openssl 0.9.6l -
运行在以下环境
应用 openssl openssl 0.9.6m -
运行在以下环境
应用 openssl openssl 0.9.7 -
运行在以下环境
应用 openssl openssl 0.9.7a -
运行在以下环境
应用 openssl openssl 0.9.7b -
运行在以下环境
应用 openssl openssl 0.9.7c -
运行在以下环境
应用 openssl openssl 0.9.7d -
运行在以下环境
应用 openssl openssl 0.9.7e -
运行在以下环境
应用 openssl openssl 0.9.7f -
运行在以下环境
应用 openssl openssl 0.9.7g -
运行在以下环境
应用 openssl openssl 0.9.7h -
运行在以下环境
应用 openssl openssl 0.9.7i -
运行在以下环境
应用 openssl openssl 0.9.7j -
运行在以下环境
应用 openssl openssl 0.9.7k -
运行在以下环境
应用 openssl openssl 0.9.7l -
运行在以下环境
应用 openssl openssl 0.9.7m -
运行在以下环境
应用 openssl openssl 0.9.8 -
运行在以下环境
应用 openssl openssl 0.9.8a -
运行在以下环境
应用 openssl openssl 0.9.8b -
运行在以下环境
应用 openssl openssl 0.9.8c -
运行在以下环境
应用 openssl openssl 0.9.8d -
运行在以下环境
应用 openssl openssl 0.9.8e -
运行在以下环境
应用 openssl openssl 0.9.8f -
运行在以下环境
应用 openssl openssl 0.9.8g -
运行在以下环境
应用 openssl openssl 0.9.8h -
运行在以下环境
应用 openssl openssl 0.9.8i -
运行在以下环境
应用 openssl openssl 0.9.8j -
运行在以下环境
应用 openssl openssl 0.9.8k -
运行在以下环境
应用 openssl openssl 0.9.8l -
运行在以下环境
应用 openssl openssl 0.9.8m -
运行在以下环境
应用 openssl openssl 0.9.8n -
运行在以下环境
应用 openssl openssl 0.9.8o -
运行在以下环境
应用 openssl openssl 1.0.0 -
运行在以下环境
应用 openssl openssl 1.0.0a -
运行在以下环境
应用 openssl openssl 1.0.0b -
运行在以下环境
系统 centos_5 openssl-devel * Up to
(excluding)
0.9.8e-12.el5_5.7
运行在以下环境
系统 debian_10 openssl * Up to
(excluding)
0.9.8o-4
运行在以下环境
系统 debian_11 openssl * Up to
(excluding)
0.9.8o-4
运行在以下环境
系统 debian_12 openssl * Up to
(excluding)
0.9.8o-4
运行在以下环境
系统 debian_5.0 openssl * Up to
(excluding)
0.9.8g-15+lenny11
运行在以下环境
系统 opensuse_11.3 compat-openssl097g-32bit * Up to
(excluding)
0.9.7g-155.3.1
运行在以下环境
系统 opensuse_11.4 compat-openssl097g-32bit * Up to
(excluding)
0.9.7g-158.159.1
运行在以下环境
系统 oracle_5 oraclelinux-release * Up to
(excluding)
0.9.8e-12.el5_5.7
运行在以下环境
系统 oracle_6 oraclelinux-release * Up to
(excluding)
1.0.0-4.el6_0.2
运行在以下环境
系统 redhat_5 openssl * Up to
(excluding)
0:0.9.8e-12.el5_5.7
运行在以下环境
系统 redhat_6 openssl * Up to
(excluding)
0:1.0.0-4.el6_0.2
运行在以下环境
系统 suse_12 libopenssl0_9_8 * Up to
(excluding)
4.8.6-7.1
运行在以下环境
系统 suse_12_SP1 libqt4-x11-32bit * Up to
(excluding)
4.8.6-7.1
阿里云评分
2.9
  • 攻击路径
    本地
  • 攻击复杂度
    复杂
  • 权限要求
    无需权限
  • 影响范围
    有限影响
  • EXP成熟度
    未验证
  • 补丁情况
    官方补丁
  • 数据保密性
    无影响
  • 数据完整性
    无影响
  • 服务器危害
    无影响
  • 全网数量
    N/A
CWE-ID 漏洞类型
NVD-CWE-noinfo
NVD-CWE-Other
阿里云安全产品覆盖情况