Карточка уязвимости
Характеристики уязвимости
Уровень опасности
Оценка CVSS
(AV:N/AC:M/Au:N/C:N/I:N/A:P)
Производитель ПО
Наименование ПО
Cisco ASA
(100.12(0.156), 100.13(0.124), 100.13(20.3), 100.13.0, 100.15(0.109), 100.6(0.0.122), 6.0, 8.4(7.31), 8.5, 9.0(4.39), 9.0.4(40), 9.1(6.114), 9.1.7.4, 9.2(4.14), 9.2(4.6), 9.3(3.10), 9.3(3.171), 9.3(3.8), 9.3(5), 9.4(2.99), 9.4(3.3), 9.5(2.10), 9.5(2.6), 9.5(2.99), 9.6, 9.6(0.99), 9.6(1.5), 96.1(1.52))
Cisco Virtual Wireless Controller
(8.2)
Cisco Wireless LAN Controller 2000
(8.2)
Cisco Wireless LAN Controller 2100
(8.2)
Cisco Wireless LAN Controller 2500
(8.2)
Cisco Wireless LAN Controller 4100
(8.2)
Cisco Wireless LAN Controller 4400
(8.2)
Cisco Wireless LAN Controller 5500
(8.2)
Описание
Уязвимость существует в ssl/s3_clnt.c в OpenSSL (при использовании для многопоточных клиентов) из-за записи значения PSK identity hint в некорректную структуру данных. Эксплуатация данной уязвимости позволяет удаленным серверам вызвать отказ в обслуживании (состояние гонки и двойное освобождение) при помощи специально сформированного сообщения ServerKeyExchange.
Как исправить
Используйте рекомендации производителя:
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20151204-openssl
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20151204-openssl
Ссылки
Источник: CVE
Наименование: CVE-2015-3196
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-3196
Наименование: CVE-2015-3196
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-3196