Cервис управления информационной безопасностью
Cервис управления информационной безопасностью
Вход Регистрация

Каталог уязвимостей - БДУ ФСТЭК - BDU:2015-00128

Сертификаты СЗИ
CVE уязвимости
БДУ ФСТЭК уязвимости
НКЦКИ уязвимости
MITRE ATT&CK
БДУ ФСТЭК
Новая БДУ ФСТЭК
Каталоги Уязвимости - ФСТЭК BDU:2015-00128
Куда я попал?
SECURITM это SGRC система, ? автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.
Подробнее
Наш канал

BDU:2015-00128

CVSS: 4.3

Уязвимость программного обеспечения Cisco Unified Communications Manager, позволяющая злоумышленнику перехватить сессию

Уязвимость существует в OpenSSL из-за некорректного ограничения обработки сообщений ChangeCipherSpec. Эксплуатация данной уязвимости позволяет злоумышленнику, действующему по принципу "человек посередине", спровоцировать использование пустого (нулевой длины) мастер-ключа в передаче данных OpenSSL-to-OpenSSL с последующим перехватом сессии или получением доступа к конфиденциальной информации при помощи специально сформированного TLS-квитирования (handshake). Данная уязвимость также известна под названием "Внедрение CCS".
Статус уязвимости:
Потенциальная уязвимость
Информация об устранении отсутствует
Класс уязвимости: Уязвимость кода
Наличие эксплойта: Данные уточняются
Способ эксплуатации: Вероятностные методы
Способ устранения: Нет данных
Меры по устранению: Использование рекомендаций производителя:
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20140605-openssl

Идентификатор типа ошибки

Идентификатор, установленный в соответствии с общим перечнем ошибок CWE
Идентификатор Описание
CWE-326 Inadequate encryption strength CWE-326

Идентификаторы CVE уязвимостей

Идентификатор, базы данных общеизвестных уязвимостей информационной безопасности
Идентификатор Описание
CVE-2014-0224 OpenSSL before 0.9.8za, 1.0.0 before 1.0.0m, and 1.0.1 before 1.0.1h does not properly restrict processing of ChangeCipherSpe...

CVSS

Система общей оценки уязвимостей
Оценка Severity Версия Базовый вектор
4.3 MEDIUM 2.0 AV:N/AC:M/Au:N/C:N/I:P/A:N

Идентификаторы других систем описаний уязвимостей

CVE-2014-0224 Cisco ID:CSCup21571 Cisco ID:CSCup22522 Cisco ID:CSCup22532 Cisco ID:CSCup22544 Cisco ID:CSCup22563 Cisco ID:CSCup22587 Cisco ID:CSCup22590 Cisco ID:CSCup22652 Cisco ID:CSCup22663 Cisco ID:CSCup22670 Cisco ID:CSCup28056 ID:183573
Вендор:
  • Cisco Systems Inc.
Тип ПО:
  • ПО сетевого программно-аппаратного средства
Наименование ПО:
  • Микропрограммное обеспечение системы коммуникаций Cisco Unified Communications Manager
Версия ПО:
  • от 10.0 до 10.5.1.95000 (Микропрограммное обеспечение системы коммуникаций Cisco Unified Communications Manager)
  • от 8.0 до 8.6.2.25900 (Микропрограммное обеспечение системы коммуникаций Cisco Unified Communications Manager)
  • от 9.0 до 9.1.2.12901 (Микропрограммное обеспечение системы коммуникаций Cisco Unified Communications Manager)
Ссылки на источники:
Навигация

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.