Vulnerabilidad en OpenSSL (CVE-2011-4354)
Gravedad CVSS v2.0:
MEDIA
Tipo:
CWE-310
Errores criptográficos
Fecha de publicación:
27/01/2012
Última modificación:
11/04/2025
Descripción
crypto/bn/bn_nist.c en OpenSSL anterior a v0.9.8h en plataformas de 32 bits, como se utiliza en stunnel y otros productos, en determinadas circunstancias, la participación ECDH o suites ECDHE cifrado, utiliza un algoritmo de reducción incorrecta modular en la aplicación de la P-256 y P 384-NIST elíptica curvas, lo que permite a atacantes remotos obtener la clave privada de un servidor de TLS a través de múltiples intentos de apretón de manos.
Impacto
Puntuación base 2.0
5.80
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:openssl:openssl:*:*:*:*:*:*:x86:* | 0.9.8g (incluyendo) | |
| cpe:2.3:a:openssl:openssl:0.9.1c:*:*:*:*:*:x86:* | ||
| cpe:2.3:a:openssl:openssl:0.9.2b:*:*:*:*:*:x86:* | ||
| cpe:2.3:a:openssl:openssl:0.9.3:*:*:*:*:*:x86:* | ||
| cpe:2.3:a:openssl:openssl:0.9.3a:*:*:*:*:*:x86:* | ||
| cpe:2.3:a:openssl:openssl:0.9.4:*:*:*:*:*:x86:* | ||
| cpe:2.3:a:openssl:openssl:0.9.5:*:*:*:*:*:x86:* | ||
| cpe:2.3:a:openssl:openssl:0.9.5:beta1:*:*:*:*:x86:* | ||
| cpe:2.3:a:openssl:openssl:0.9.5:beta2:*:*:*:*:x86:* | ||
| cpe:2.3:a:openssl:openssl:0.9.5a:*:*:*:*:*:x86:* | ||
| cpe:2.3:a:openssl:openssl:0.9.5a:beta1:*:*:*:*:x86:* | ||
| cpe:2.3:a:openssl:openssl:0.9.5a:beta2:*:*:*:*:x86:* | ||
| cpe:2.3:a:openssl:openssl:0.9.6:*:*:*:*:*:x86:* | ||
| cpe:2.3:a:openssl:openssl:0.9.6:beta1:*:*:*:*:x86:* | ||
| cpe:2.3:a:openssl:openssl:0.9.6:beta2:*:*:*:*:x86:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://crypto.di.uminho.pt/CACE/CT-RSA2012-openssl-src.zip
- http://cvs.openssl.org/filediff?f=openssl/crypto/bn/bn_nist.c&v1=1.14&v2=1.21
- http://eprint.iacr.org/2011/633
- http://marc.info/?t=119271238800004
- http://openwall.com/lists/oss-security/2011/12/01/6
- http://rt.openssl.org/Ticket/Display.html?id=1593&user=guest&pass=guest
- http://www.debian.org/security/2012/dsa-2390
- https://bugzilla.redhat.com/show_bug.cgi?id=757909
- http://crypto.di.uminho.pt/CACE/CT-RSA2012-openssl-src.zip
- http://cvs.openssl.org/filediff?f=openssl/crypto/bn/bn_nist.c&v1=1.14&v2=1.21
- http://eprint.iacr.org/2011/633
- http://marc.info/?t=119271238800004
- http://openwall.com/lists/oss-security/2011/12/01/6
- http://rt.openssl.org/Ticket/Display.html?id=1593&user=guest&pass=guest
- http://www.debian.org/security/2012/dsa-2390
- https://bugzilla.redhat.com/show_bug.cgi?id=757909