CRITICAL🇬🇧 English

CVE-2022-34381

Dell BSAFE SSL-J i Crypto-J — niezaktualizowany komponent zewnętrzny umożliwia zdalne przejęcie systemu

CVSS 9.1v3.1pub. 2024-02-02upd. 2024-11-21

Dell BSAFE SSL-J w wersji 7.0 oraz wszystkich wersjach przed 6.5, a także Dell BSAFE Crypto-J w wersjach przed 6.2.6.1, zawierają podatny, niekonserwowany komponent zewnętrzny. Nieuwierzytelniony zdalny atakujący może potencjalnie przejąć kontrolę nad systemem, na którym działa podatne oprogramowanie.

Pokaż oryginał (EN)

Dell BSAFE SSL-J version 7.0 and all versions prior to 6.5, and Dell BSAFE Crypto-J versions prior to 6.2.6.1 contain an unmaintained third-party component vulnerability. An unauthenticated remote attacker could potentially exploit this vulnerability, leading to the compromise of the impacted system. This is a Critical vulnerability and Dell recommends customers to upgrade at the earliest opportunity.

🤖 Analiza AI
Jak działa

Podatność wynika z obecności w produkcie przestarzałego komponentu zewnętrznego (third-party), który nie jest już utrzymywany przez jego dostawcę i zawiera nienaprawione luki bezpieczeństwa (CWE-1329). Atakujący nie musi posiadać żadnych poświadczeń ani interakcji użytkownika — atak może być przeprowadzony zdalnie przez sieć. Szczegółowy mechanizm eksploitacji nie został ujawniony w publicznym opisie.

Skutki

Skuteczne wykorzystanie podatności może prowadzić do pełnego przejęcia kontroli nad systemem, w tym do naruszenia poufności i integralności danych. Dostępność systemu nie jest bezpośrednio wskazana jako zagrożona, jednak kompromitacja systemu może mieć daleko idące konsekwencje dla bezpieczeństwa całego środowiska.

Mitygacja

Dell zaleca jak najszybszą aktualizację do następujących wersji: Dell BSAFE SSL-J 6.5 lub 7.1 oraz Dell BSAFE Crypto-J 6.2.6.1 lub 7.0. Szczegółowe informacje dostępne w biuletynie bezpieczeństwa producenta DSA-2022-208 pod adresem wskazanym w referencjach.

Kogo dotyczy

Dell BSAFE SSL-J w wersji 7.0 oraz we wszystkich wersjach wcześniejszych niż 6.5; Dell BSAFE Crypto-J we wszystkich wersjach wcześniejszych niż 6.2.6.1

Uwagi

Podatność opublikowana przez Dell pod identyfikatorem DSA-2022-208. Pomimo daty publikacji CVE (2024-02-02), biuletyn bezpieczeństwa Dell pochodzi z 2022 roku, co sugeruje opóźnioną rejestrację w bazie CVE.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N
  • Dell Bsafe Crypto J

    APP
    Dell
    < 6.2.6.1
  • Dell Bsafe Ssl J

    APP
    Dell
    7.0< 6.5
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2016-8212HIGH7.5ten sam produkt

An issue was discovered in EMC RSA BSAFE Crypto-J versions prior to 6.2.2. There is an Improper OCSP Validatio...

CVE-2015-0534HIGH7.5ten sam produkt

EMC RSA BSAFE Micro Edition Suite (MES) 4.0.x before 4.0.8 and 4.1.x before 4.1.3, RSA BSAFE Crypto-J before 6...

CVE-2004-0079HIGH7.5ten sam produkt

The do_change_cipher_spec function in OpenSSL 0.9.6c to 0.9.6k, and 0.9.7a to 0.9.7c, allows remote attackers ...

CVE-2001-1105HIGH7.5ten sam produkt

RSA BSAFE SSL-J 3.0, 3.0.1 and 3.1, as used in Cisco iCND 2.0, caches session IDs from failed login attempts, ...

CVE-2025-26333MEDIUM5.9ten sam produkt

Dell BSAFE Crypto-J generates an error message that includes sensitive information about its environment and a...