Platform
openssl
Component
openssl
Opgelost in
0.9.0
0.9.0
CVE-2016-10931 beschrijft een kwetsbaarheid in rust-openssl, waarbij onveilige standaardinstellingen man-in-the-middle aanvallen mogelijk maken. Deze kwetsbaarheid treft versies van rust-openssl die ouder zijn dan 0.9.0. De kwetsbaarheid is verholpen door certificaatverificatie standaard in te schakelen en API's te bieden voor hostname verificatie.
Deze kwetsbaarheid stelt een aanvaller in staat om een man-in-the-middle aanval uit te voeren, waarbij de aanvaller het netwerkverkeer tussen een client en een server kan onderscheppen en manipuleren. Omdat certificaatverificatie standaard is uitgeschakeld, kan de aanvaller valse certificaten presenteren en de client misleiden om verbinding te maken met een kwaadaardige server. Dit kan leiden tot het stelen van gevoelige informatie, zoals wachtwoorden en financiële gegevens, of het injecteren van kwaadaardige code in de communicatie. De impact is aanzienlijk, aangezien het de integriteit en vertrouwelijkheid van de communicatie in gevaar brengt.
Deze kwetsbaarheid is openbaar bekend en er zijn geen bekende actieve campagnes gemeld. Er zijn geen publieke proof-of-concept exploits beschikbaar. De kwetsbaarheid is opgenomen in het NVD (National Vulnerability Database) en de publicatiedatum is 2016-11-05. De EPSS score is momenteel niet bekend.
Exploit Status
EPSS
0.18% (40% percentiel)
CVSS-vector
De primaire mitigatie is het upgraden naar rust-openssl versie 0.9.0 of hoger. Deze versie bevat de benodigde correcties om de onveilige standaardinstellingen te verhelpen. Indien een upgrade niet direct mogelijk is, overweeg dan het configureren van de rust-openssl bibliotheek om certificaatverificatie expliciet in te schakelen en hostname verificatie te implementeren. Controleer de documentatie van rust-openssl voor gedetailleerde instructies over de configuratie. Na de upgrade, verifieer de correcte werking door een verbinding te maken met een vertrouwde server en te controleren of certificaatverificatie correct plaatsvindt.
Geen officiële patch beschikbaar. Zoek naar tijdelijke oplossingen of monitor updates.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2016-10931 describes a vulnerability in rust-openssl versions before 0.9.0 where insecure defaults (disabled certificate verification, no hostname verification) allow man-in-the-middle attacks.
You are affected if your application uses rust-openssl versions prior to 0.9.0 and does not explicitly configure certificate verification and hostname verification.
Upgrade to rust-openssl version 0.9.0 or later. If upgrading isn't possible, configure certificate verification and hostname verification using SslConnector and SslAcceptor.
While no widespread campaigns are known, the vulnerability is attractive to targeted attacks and POC exploits are available.
Refer to the rust-openssl project's release notes and security advisories on their GitHub repository for details: https://github.com/rust-openssl/rust-openssl
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.