ディフィー・ヘルマン鍵交換プロトコルの実装には、リソース枯渇の脆弱性(CVE-2002-20001)が存在します。
ディフィー・ヘルマン鍵交換プロトコルでは、リモートの攻撃者が(クライアント側から)公開鍵を装った任意の数値を送信し、サーバー側に計算コストの高いDHEモジュラー累乗計算を実行させることが可能です。この攻撃は、D(HE)atまたはD(HE)ater攻撃とも呼ばれています。クライアントが必要とするCPUリソースやネットワーク帯域幅はごくわずかです。クライアントがサーバーに対し、サポートされる最大の鍵サイズを選択させることが可能な場合、攻撃の影響はさらに深刻になります。基本的な攻撃シナリオでは、クライアントがDHEのみの通信機能を要求し、サーバーがDHEを許可するように設定されている必要があります。
この脆弱性は、DHE暗号スイートを受け入れるすべての製品またはサービスに影響します。このリスクを軽減するために、Moxaは影響を受ける製品向けの対処方法を公開しています。適切な解決策を直ちに適用することをお勧めします。
見つかった脆弱性の種類と潜在的な影響
CVE ID |
脆弱性の種類 |
影響 |
CVE-2002-20001 |
CWE-400:制御されていないリソース消費
|
攻撃者は、サーバーに高コストのモジュラー指数演算を強制的に実行させる可能性があります。これにより、サーバー側のCPU使用率が大幅に上昇し、サービスの可用性が低下したり、完全なサービス拒否状態に陥ったりする可能性があります。 |
脆弱性評価の詳細
CVE ID
|
ベーススコア
|
ベクター
|
重大度 |
認証されていないリモートエクスプロイト
|
CVE-2002-20001 |
CVSS:3.1: 7.5
|
AV:N/AC:L/PR:N/UI:N/S:U/ C:N/I:N/A:H
|
高 |
あり |