Threat Intelligence Exchange Server
Уязвимости
10
Эксплуатируемые
0
Макс. CVSS
8.2
Макс. EPSS
0.17139
Распределение по критичности
Критический
0
Высокий
1
Средний
9
Низкий
0
Затронутые диапазоны версий
2.0.0–2.0.12.0.0–2.3.12.0.0–3.0.0
Также сопоставлено как (исходные строки): threat intelligence exchange server,threat_intelligence_exchange_server,web_gateway,agent,data_exchange_layer
Топ уязвимостей
BDU:2019-01817Уязвимость программного средства обмена сообщениями между приложениями Data Exchange Layer Platform и средства защиты от угроз Threat Intelligence Exchange Server связана с отсутствием защиты служебных данных. Эксплуатация уязвимости может позволить нарушителю получить доступ на чтение конфиденциальной информации в виде простого текста через графический интерфейс или командную строку
CVE-2020-0543Неполная очистка после определенных операций чтения специальных регистров в некоторых процессорах Intel(R) может позволить аутентифицированному пользователю потенциально раскрыть информацию через локальный доступ.
CVE-2019-3738RSA BSAFE Crypto-J версий до 6.2.5 уязвимы для уязвимости Missing Required Cryptographic Step. Злонамеренный удаленный злоумышленник может потенциально использовать эту уязвимость, чтобы заставить две стороны вычислить один и тот же предсказуемый общий ключ.
CVE-2019-1559Если приложение сталкивается с фатальной ошибкой протокола, а затем дважды вызывает SSL_shutdown() (один раз для отправки close_notify и один раз для получения), то OpenSSL может по-разному реагировать на вызывающее приложение, если получен 0-байтовый запись с неверным заполнением по сравнению с тем, если получен 0-байтовый запись с неверным MAC. Если приложение затем ведет себя по-разному на основе этого, что обнаружимо для удаленного пира, то это равнозначно оракулу заполнения, который можно использовать для расшифровки данных. Чтобы это можно было использовать, необходимо использовать "несшитые" наборы шифров. Сшитые наборы шифров — это оптимизированные реализации определенных часто используемых наборов шифров. Кроме того, приложение должно дважды вызвать SSL_shutdown(), даже если произошла ошибка протокола (приложения не должны этого делать, но некоторые все равно делают). Исправлено в OpenSSL 1.0.2r (затронуты 1.0.2-1.0.2q).
CVE-2018-6695Уязвимость генерации ключей хоста SSH на сервере в McAfee Threat Intelligence Exchange Server (TIE Server) 1.3.0, 2.0.x, 2.1.x, 2.2.0 позволяет злоумышленникам типа "человек посередине" подделывать серверы путем получения ключей из другой среды.
CVE-2020-2830Уязвимость в продуктах Java SE, Java SE Embedded из Oracle Java SE (компонент: Concurrency). Поддерживаемые версии, подверженные уязвимости: Java SE: 7u251, 8u241, 11.0.6 и 14; Java SE Embedded: 8u241. Легко эксплуатируемая уязвимость позволяет не прошедшему проверку подлинности злоумышленнику с доступом к сети через несколько протоколов скомпрометировать Java SE, Java SE Embedded. Успешные атаки этой уязвимости могут привести к несанкционированной возможности вызвать частичный отказ в обслуживании (partial DOS) Java SE, Java SE Embedded. Примечание: относится к клиентскому и серверному развертыванию Java. Эту уязвимость можно использовать через изолированные приложения Java Web Start и изолированные апплеты Java. Ее также можно использовать, предоставляя данные API в указанном компоненте без использования изолированных приложений Java Web Start или изолированных апплетов Java, например, через веб-службу. Базовая оценка CVSS 3.0 составляет 5.3 (воздействие на доступность). Вектор CVSS: (CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L).
CVE-2020-2781Уязвимость в продукте Java SE, Java SE Embedded от Oracle Java SE (компонент: JSSE). Поддерживаемые версии, подверженные уязвимости, — Java SE: 7u251, 8u241, 11.0.6 и 14; Java SE Embedded: 8u241. Легко эксплуатируемая уязвимость позволяет не прошедшему проверку подлинности злоумышленнику, имеющему сетевой доступ через HTTPS, скомпрометировать Java SE, Java SE Embedded. Успешные атаки с использованием этой уязвимости могут привести к несанкционированной возможности вызвать частичный отказ в обслуживании (частичный DOS) Java SE, Java SE Embedded. Примечание: относится к клиентскому и серверному развертыванию Java. Эта уязвимость может быть использована через изолированные приложения Java Web Start и изолированные Java-апплеты. Она также может быть использована путем предоставления данных API в указанном компоненте без использования изолированных приложений Java Web Start или изолированных Java-апплетов, например, через веб-службу. Базовая оценка CVSS 3.0 — 5.3 (воздействие на доступность). Вектор CVSS: (CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L).
BDU:2019-01833Уязвимость файла auth-gss2.c средства криптографической защиты OpenSSH связана с отсутствием защиты служебных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, раскрыть защищаемую информацию
CVE-2019-3641Уязвимость злоупотребления авторизацией в API, предоставляемых сервером TIE в McAfee Threat Intelligence Exchange Server (TIE Server) 3.0.0, позволяет удаленным аутентифицированным пользователям изменять сохраненные данные о репутации с помощью специально созданных сообщений.
BDU:2020-00162Уязвимость API-интерфейса средства защиты от угроз Threat Intelligence Exchange Server связана с недостатками процедуры аутентификации. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, оказать воздействие на целостность защищаемой информации с помощью специально созданных сообщений