OpenSSL1.0.2 < 1.02zi脆弱性

介质奈苏斯插件号178476

语言 :

简表

远程服务受多重漏洞影响

描述性

远程主机安装版OpenSSL受1.0.2zi咨询中引用的脆弱性影响

问题汇总:检查过长DH密钥或参数可能非常慢效果汇总 :
DH_ check ()、DH_check_ex ()或EVP_PKEY_param查关键或参数从不可信源获取,可能导致拒绝服务函数DH_ check()对DH参数进行多项检查检查之一确认模数('p'参数)不太大尝试使用超大模量慢,OpenSSL通常不使用长度超过10,000比特的模量DH_ check()函数检查提供键或参数的多方面其中一些检验使用提供模数值,即使发现该模数值太大程序调用DH_ check()并提供从可信源获取的密钥或参数,可免责拒绝服务攻击DH_ Check()函数本身调用OpenSSL函数程序调用任何其他函数可能同样受到影响受此影响的其他函数为DH_check_ex()和EVP_PKEY_param_check()。OpenSSLdhparam和pkeisparam命令行应用使用复选OpenSSLSSL/TLS实施不受这一问题影响OpenSSL3.0和3.1FIPS提供商不受这一问题影响CVE-2023-344

注意Nessus没有测试这一问题,而是只依赖应用自报版号