检测

Xerox ColorQube 8570 / 8870 多种漏洞 (XRX15OA)

medium Nessus 插件 ID 86710

语言:

简介

远程多功能设备受到多种漏洞影响。

描述

根据其型号和软件版本,远程主机是受到多种漏洞影响的 Xerox ColorQube 设备:

- 由于椭圆曲线数字签名算法 (ECDSA) 的实现中存在允许通过“FLUSH+RELOAD”缓存边信道攻击的临时信息泄露的缺陷,OpenSSL 的捆绑版本中存在信息泄露漏洞。
 (CVE-2014-0076)

- OpenSSL 的捆绑版本中存在因 DTLS 功能中的递归缺陷造成的拒绝服务漏洞。远程攻击者可利用此漏洞,通过特别构建的请求使 DTLS 客户端应用程序崩溃。(CVE-2014-0221)

- OpenSSL 的捆绑版本中存在因握手进程中的缺陷造成的不明错误。远程攻击者可利用此错误,通过构建的握手强制客户端或服务器使用弱密钥资料,从而允许简化的中间人攻击。
 (CVE-2014-0224)

- OpenSSL 的捆绑版本中存在因与 ECDH 加密套件有关的不明缺陷造成的拒绝服务漏洞。请注意,此问题仅影响 OpenSSL TLS 客户端。(CVE-2014-3470)

- 由于没有正确验证用户提供的输入,因而存在跨站脚本漏洞。远程攻击者可利用此漏洞,通过特别构建的请求,在用户浏览器会话中执行任意脚本代码。(OSVDB 129429)

解决方案

升级到固件版本 PS 4.76.0 和网络控制器版本 43.90.10.14.2015。

另见

http://www.nessus.org/u?15fd6bad

https://www.openssl.org/news/secadv/20140605.txt

http://ccsinjection.lepidum.co.jp/

https://www.imperialviolet.org/2014/06/05/earlyccs.html

插件详情

严重性: Medium

ID: 86710

文件名: xerox_xrx15ao_colorqube.nasl

版本: 1.6

类型: remote

系列: Misc.

发布时间: 2015/11/3

最近更新时间: 2019/11/20

支持的传感器: Nessus

风险信息

VPR

风险因素: High

分数: 7.7

CVSS v2

风险因素: Medium

基本分数: 5.8

时间分数: 4.8

矢量: CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:N

CVSS 分数来源: CVE-2014-0224

漏洞信息

CPE: cpe:/h:xerox:colorqube

必需的 KB 项: www/xerox_colorqube, www/xerox_colorqube/model, www/xerox_colorqube/ess, www/xerox_colorqube/ps

可利用: true

易利用性: Exploits are available

补丁发布日期: 2015/10/14

漏洞发布日期: 2014/2/24

可利用的方式

Core Impact

参考资料信息

CVE: CVE-2014-0076, CVE-2014-0221, CVE-2014-0224, CVE-2014-3470

BID: 66363, 67898, 67899, 67901

CERT: 978508