Diffie-Hellman 密鑰交換協定的實作存在資源耗盡漏洞 CVE-2002-20001。
Diffie-Hellman
密鑰協商協定允許遠端攻擊者(可從用戶端)發送非公開金鑰的任意數字,來觸發伺服器端進行非常消耗資源的 DHE 模冪運算,亦即 D(HE)at 或 D(HE)ater 攻擊。用戶端只需極少的 CPU 資源和網路頻寬。這種攻擊極具破壞性,因為用戶端可能要求伺服器選擇可支援的最大密鑰長度。基本攻擊情境要求用戶端聲明僅支援 DHE 通訊協定,而伺服器必須配置為允許使用 DHE。
此漏洞會影響任何接受 DHE 加密套件的產品或服務。為了降低風險,Moxa 針對受影響的產品發布了解決方案。我們建議立即採用合適的解決方案。
已確認的安全漏洞類型和潛在影響
CVE ID |
安全漏洞類型 |
影響 |
CVE-2002-20001 |
CWE-400:不受控制的資源消耗
|
攻擊者可強制要求伺服器執行高成本的模冪運算,導致伺服器端的 CPU 使用率大幅提高,進而降低服務可用性,或完全阻斷服務。 |
安全漏洞評分詳情
CVE ID
|
評分
|
向量
|
嚴重性 |
未經身分驗證的遠端攻擊
|
CVE-2002-20001 |
CVSS:3.1: 7.5
|
AV:N/AC:L/PR:N/UI:N/S:U/ C:N/I:N/A:H
|
高 |
是 |