应用 Diffie-Hellman 密钥交换协议时存在资源耗尽漏洞 (CVE-2002-20001)。
远程攻击者可(从客户端)发送实际并非公钥的任意数值,触发服务器端进行高消耗的 DHE 模幂运算。此类攻击也被称为 D(HE)at 攻击或 D(HE)ater 攻击。客户端所需的 CPU 资源和网络带宽极少。在客户端要求服务器选择其支持的最大密钥大小时,攻击可能会更具破坏性。基本攻击场景要求客户端声明仅支持 DHE 通信协议,且服务器必须配置为允许 DHE。
此漏洞影响任何接受 DHE 密码套件的产品或服务。为降低这一风险,Moxa 已针对受影响产品发布了解决方案。我们建议立即妥善采取相应的解决方案。
确定的漏洞类型和潜在影响如下所示
| CVE ID |
漏洞类型 |
影响 |
| CVE-2002-20001 |
CWE-400: 不受控制的资源消耗
|
攻击者可以迫使服务器执行高成本的模幂运算操作。这会导致服务器端 CPU 使用率显著上升,可能降低服务可用性或造成服务完全中断。 |
漏洞评分信息
|
CVE ID
|
基础得分
|
漏洞载体
|
严重程度 |
是否无需身份验证
即可远程利用漏洞
|
| CVE-2002-20001 |
CVSS:3.1: 7.5
|
AV:N/AC:L/PR:N/UI:N/S:U/ C:N/I:N/A:H
|
高 |
是 |