CVE-2019-14887

DEB

Высокий

Уязвимость была обнаружена, когда провайдер безопасности OpenSSL используется с Wildfly, значение 'enabled-protocols' в конфигурации Wildfl…

CVSS

7.4

Высокий

EPSS

0.01

p60

Опубликовано

2019-01-01

Обновлено

2019-01-01

Описание

Уязвимость была обнаружена, когда провайдер безопасности OpenSSL используется с Wildfly, значение 'enabled-protocols' в конфигурации Wildfly не учитывается. Злоумышленник может нацелиться на трафик, отправляемый из Wildfly, и понизить версию соединения до более слабой версии TLS, потенциально нарушив шифрование. Это может привести к утечке данных, передаваемых по сети. Считается, что уязвимы версии Wildfly 7.2.0.GA, 7.2.3.GA и 7.2.5.CR2.

Теги · CWE

Без аутентификации

CWE-757

CAPEC-220

CAPEC-606

CAPEC-620

Затронутые продукты

Eap7-activemq-artemisEap7-activemq-artemisEap7-activemq-artemisEap7-activemq-artemisEap7-activemq-artemisEap7-activemq-artemisEap7-apache-commons-beanutilsEap7-apache-commons-beanutilsEap7-apache-commons-beanutilsEap7-apache-cxfEap7-apache-cxfEap7-apache-cxfEap7-bouncycastleEap7-bouncycastleEap7-bouncycastleEap7-codehaus-jacksonEap7-codehaus-jacksonEap7-codehaus-jacksonEap7-cryptacularEap7-cryptacular

Вектор CVSS

CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:N

Хронология

2019-01-01

Опубликована

2019-01-01

Обновлена

Разбор CVSS 3.1

Вектор атаки

AV: N

Сеть (N)

Сложность атаки

AC: H

Высокая (H)

Требуемые привилегии

PR: N

Отсутствуют (N)

Взаимодействие с пользователем

UI: N

Отсутствует (N)

Область воздействия

S: U

Неизменная (U)

Воздействие на конфиденциальность

C: H

Высокое (H)

Воздействие на целостность

I: H

Высокое (H)

Воздействие на доступность

A: N

Отсутствует (N)

Индикаторы эксплуатации

EPSS

0.011 · p60

Известна эксплуатация (KEV)

Нет

MITRE ATT&CK

Выводимые через CAPEC

T1600Ослабление шифрования

└ через CAPEC-620 · CWE-757

Проверки Сканер-ВС

Проверок Сканер-ВС для этой уязвимости в базе пока нет.

Затронутые продукты

Debian

Wildfly

Red Hat

Jboss Enterprise Application Platform Eap7-wildfly Eap7-undertow Eap7-jboss-server-migration Eap7-hibernate Eap7-ironjacamar Eap7-wildfly-elytron Eap7-hal-console Eap7-wildfly-http-client Eap7-jboss-ejb-client+59

Продукт	Вендор	Статус
eap7-activemq-artemis		Отслеживается
eap7-activemq-artemis		Отслеживается
eap7-activemq-artemis		Отслеживается
eap7-activemq-artemis		Отслеживается
eap7-activemq-artemis		Отслеживается
eap7-activemq-artemis		Отслеживается
eap7-apache-commons-beanutils		Отслеживается
eap7-apache-commons-beanutils		Отслеживается
eap7-apache-commons-beanutils		Отслеживается
eap7-apache-cxf		Отслеживается
eap7-apache-cxf		Отслеживается
eap7-apache-cxf		Отслеживается
eap7-bouncycastle		Отслеживается
eap7-bouncycastle		Отслеживается
eap7-bouncycastle		Отслеживается
eap7-codehaus-jackson		Отслеживается
eap7-codehaus-jackson		Отслеживается
eap7-codehaus-jackson		Отслеживается
eap7-cryptacular		Отслеживается
eap7-cryptacular		Отслеживается

Показаны первые 20 из 268

Источники данных

DEB

CVE

RED

Связанные уязвимости

BDU:2020-05807