CVE-2015-1793 (CNNVD-201507-298)
MEDIUM
有利用代码
中文标题:
OpenSSL 安全漏洞
英文标题:
The X509_verify_cert function in crypto/x509/x509_vfy.c in OpenSSL 1.0.1n, 1.0.1o, 1.0.2b, and 1.0.2...
CVSS分数:
6.5
发布时间:
2015-07-09 19:00:00
漏洞类型:
授权问题
状态:
PUBLISHED
数据质量分数:
0.30
数据版本:
v4
漏洞描述
中文描述:
OpenSSL是OpenSSL团队开发的一个开源的能够实现安全套接层(SSL v2/v3)和安全传输层(TLS v1)协议的通用加密库,它支持多种加密算法,包括对称密码、哈希算法、安全散列算法等。 OpenSSL的crypto/x509/x509_vfy.c文件中的‘X509_verify_cert’函数存在安全漏洞,该漏洞源于程序识别备选的证书链时没有正确处理X.509 Basic Constraints cA值。远程攻击者可借助有效的leaf证书利用该漏洞伪造Certification Authority角色。以下版本受到影响:OpenSSL 1.0.1n版本,1.0.1o版本,1.0.2b版本,1.0.2c版本。
英文描述:
The X509_verify_cert function in crypto/x509/x509_vfy.c in OpenSSL 1.0.1n, 1.0.1o, 1.0.2b, and 1.0.2c does not properly process X.509 Basic Constraints cA values during identification of alternative certificate chains, which allows remote attackers to spoof a Certification Authority role and trigger unintended certificate verifications via a valid leaf certificate.
CWE类型:
CWE-254
标签:
webapps
multiple
Ramon de C Valle
OSVDB-124300
受影响产品
| 厂商 | 产品 | 版本 | 版本范围 | 平台 | CPE |
|---|---|---|---|---|---|
| oracle | supply_chain_products_suite | 6.1.2.2 | - | - |
cpe:2.3:a:oracle:supply_chain_products_suite:6.1.2.2:*:*:*:*:*:*:*
|
| oracle | supply_chain_products_suite | 6.1.3.0 | - | - |
cpe:2.3:a:oracle:supply_chain_products_suite:6.1.3.0:*:*:*:*:*:*:*
|
| oracle | supply_chain_products_suite | 6.2.0 | - | - |
cpe:2.3:a:oracle:supply_chain_products_suite:6.2.0:*:*:*:*:*:*:*
|
| oracle | jd_edwards_enterpriseone_tools | 9.1 | - | - |
cpe:2.3:a:oracle:jd_edwards_enterpriseone_tools:9.1:*:*:*:*:*:*:*
|
| oracle | jd_edwards_enterpriseone_tools | 9.2 | - | - |
cpe:2.3:a:oracle:jd_edwards_enterpriseone_tools:9.2:*:*:*:*:*:*:*
|
| openssl | openssl | 1.0.1n | - | - |
cpe:2.3:a:openssl:openssl:1.0.1n:*:*:*:*:*:*:*
|
| openssl | openssl | 1.0.1o | - | - |
cpe:2.3:a:openssl:openssl:1.0.1o:*:*:*:*:*:*:*
|
| openssl | openssl | 1.0.2b | - | - |
cpe:2.3:a:openssl:openssl:1.0.2b:*:*:*:*:*:*:*
|
| openssl | openssl | 1.0.2c | - | - |
cpe:2.3:a:openssl:openssl:1.0.2c:*:*:*:*:*:*:*
|
| oracle | opus_10g_ethernet_switch_family | * | - | - |
cpe:2.3:o:oracle:opus_10g_ethernet_switch_family:*:*:*:*:*:*:*:*
|
解决方案
中文解决方案:
(暂无数据)
英文解决方案:
(暂无数据)
临时解决方案:
(暂无数据)
参考链接
SSRT102180
vendor-advisory
cve.org
访问
cve.org
无标题
x_refsource_CONFIRM
cve.org
访问
cve.org
1032817
vdb-entry
cve.org
访问
cve.org
无标题
x_refsource_CONFIRM
cve.org
访问
cve.org
GLSA-201507-15
vendor-advisory
cve.org
访问
cve.org
无标题
x_refsource_CONFIRM
cve.org
访问
cve.org
无标题
x_refsource_CONFIRM
cve.org
访问
cve.org
无标题
x_refsource_CONFIRM
cve.org
访问
cve.org
20150710 OpenSSL Alternative Chains Certificate Forgery Vulnerability (July 2015) Affecting Cisco Products
vendor-advisory
cve.org
访问
cve.org
无标题
x_refsource_CONFIRM
cve.org
访问
cve.org
FreeBSD-SA-15:12
vendor-advisory
cve.org
访问
cve.org
无标题
x_refsource_CONFIRM
cve.org
访问
cve.org
FEDORA-2015-11414
vendor-advisory
cve.org
访问
cve.org
无标题
x_refsource_CONFIRM
cve.org
访问
cve.org
无标题
x_refsource_CONFIRM
cve.org
访问
cve.org
无标题
x_refsource_CONFIRM
cve.org
访问
cve.org
无标题
x_refsource_CONFIRM
cve.org
访问
cve.org
无标题
x_refsource_CONFIRM
cve.org
访问
cve.org
HPSBGN03424
vendor-advisory
cve.org
访问
cve.org
FEDORA-2015-11475
vendor-advisory
cve.org
访问
cve.org
无标题
x_refsource_CONFIRM
cve.org
访问
cve.org
无标题
x_refsource_CONFIRM
cve.org
访问
cve.org
无标题
x_refsource_CONFIRM
cve.org
访问
cve.org
无标题
x_refsource_CONFIRM
cve.org
访问
cve.org
91787
vdb-entry
cve.org
访问
cve.org
无标题
x_refsource_CONFIRM
cve.org
访问
cve.org
75652
vdb-entry
cve.org
访问
cve.org
无标题
x_refsource_CONFIRM
cve.org
访问
cve.org
38640
exploit
cve.org
访问
cve.org
SSA:2015-190-01
vendor-advisory
cve.org
访问
cve.org
NetBSD-SA2015-008
vendor-advisory
cve.org
访问
cve.org
ExploitDB EDB-38640
EXPLOIT
exploitdb
访问
exploitdb
Download Exploit EDB-38640
EXPLOIT
exploitdb
访问
exploitdb
CVE Reference: CVE-2015-1793
ADVISORY
cve.org
访问
cve.org
CVSS评分详情
6.5
MEDIUM
CVSS向量:
CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:N
CVSS版本:
3.0
机密性
LOW
完整性
LOW
可用性
NONE
时间信息
发布时间:
2015-07-09 19:00:00
修改时间:
2024-08-06 04:54:16
创建时间:
2025-11-11 15:34:00
更新时间:
2025-11-11 16:37:02
利用信息
此漏洞有可利用代码!
利用代码数量:
1
利用来源:
未知
数据源详情
| 数据源 | 记录ID | 版本 | 提取时间 |
|---|---|---|---|
| CVE | cve_CVE-2015-1793 |
2025-11-11 15:18:54 | 2025-11-11 07:34:00 |
| NVD | nvd_CVE-2015-1793 |
2025-11-11 14:54:50 | 2025-11-11 07:42:42 |
| CNNVD | cnnvd_CNNVD-201507-298 |
2025-11-11 15:09:34 | 2025-11-11 07:52:06 |
| EXPLOITDB | exploitdb_EDB-38640 |
2025-11-11 15:05:29 | 2025-11-11 08:37:02 |
版本与语言
当前版本:
v4
主要语言:
EN
支持语言:
EN
ZH
其他标识符:
:
:
安全公告
暂无安全公告信息
变更历史
v4
EXPLOITDB
2025-11-11 16:37:02
references_count: 31 → 34; tags_count: 0 → 4; data_sources: ['cnnvd', 'cve', 'nvd'] → ['cnnvd', 'cve', 'exploitdb', 'nvd']
查看详细变更
- references_count: 31 -> 34
- tags_count: 0 -> 4
- data_sources: ['cnnvd', 'cve', 'nvd'] -> ['cnnvd', 'cve', 'exploitdb', 'nvd']
v3
CNNVD
2025-11-11 15:52:06
vulnerability_type: 未提取 → 授权问题; cnnvd_id: 未提取 → CNNVD-201507-298; data_sources: ['cve', 'nvd'] → ['cnnvd', 'cve', 'nvd']
查看详细变更
- vulnerability_type: 未提取 -> 授权问题
- cnnvd_id: 未提取 -> CNNVD-201507-298
- data_sources: ['cve', 'nvd'] -> ['cnnvd', 'cve', 'nvd']
v2
NVD
2025-11-11 15:42:42
cvss_score: 未提取 → 6.5; cvss_vector: NOT_EXTRACTED → CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:N; cvss_version: NOT_EXTRACTED → 3.0; affected_products_count: 0 → 10; references_count: 32 → 31; data_sources: ['cve'] → ['cve', 'nvd']
查看详细变更
- cvss_score: 未提取 -> 6.5
- cvss_vector: NOT_EXTRACTED -> CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:N
- cvss_version: NOT_EXTRACTED -> 3.0
- affected_products_count: 0 -> 10
- references_count: 32 -> 31
- data_sources: ['cve'] -> ['cve', 'nvd']