Vulnerabilidad en Algoritmo RC4 (CVE-2013-2566)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-326
Fortaleza de cifrado inadecuada
Fecha de publicación:
15/03/2013
Última modificación:
11/04/2025
Descripción
El algoritmo RC4, tal como se usa en el protocolo TLS y protocolo SSL, tiene muchos "single-byte biases", lo que hace que sea más fácil para atacantes remotos realizar ataques de recuperación de texto claro a través de análisis estadístico de texto cifrado en un gran número de sesiones que utilizan el mismo texto claro.
Impacto
Puntuación base 3.x
5.90
Gravedad 3.x
MEDIA
Puntuación base 2.0
4.30
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:oracle:communications_application_session_controller:*:*:*:*:*:*:*:* | 3.0.0 (incluyendo) | 3.9.1 (incluyendo) |
| cpe:2.3:a:oracle:http_server:11.1.1.7.0:*:*:*:*:*:*:* | ||
| cpe:2.3:a:oracle:http_server:11.1.1.9.0:*:*:*:*:*:*:* | ||
| cpe:2.3:a:oracle:http_server:12.1.3.0.0:*:*:*:*:*:*:* | ||
| cpe:2.3:a:oracle:http_server:12.2.1.1.0:*:*:*:*:*:*:* | ||
| cpe:2.3:a:oracle:http_server:12.2.1.2.0:*:*:*:*:*:*:* | ||
| cpe:2.3:o:oracle:integrated_lights_out_manager_firmware:*:*:*:*:*:*:*:* | 3.0.0 (incluyendo) | 3.2.11 (incluyendo) |
| cpe:2.3:o:oracle:integrated_lights_out_manager_firmware:*:*:*:*:*:*:*:* | 4.0.0 (incluyendo) | 4.0.4 (incluyendo) |
| cpe:2.3:o:fujitsu:sparc_enterprise_m3000_firmware:*:*:*:*:*:*:*:* | xcp (incluyendo) | xcp_1121 (excluyendo) |
| cpe:2.3:h:fujitsu:sparc_enterprise_m3000:-:*:*:*:*:*:*:* | ||
| cpe:2.3:o:fujitsu:sparc_enterprise_m4000_firmware:*:*:*:*:*:*:*:* | xcp (incluyendo) | xcp_1121 (excluyendo) |
| cpe:2.3:h:fujitsu:sparc_enterprise_m4000:-:*:*:*:*:*:*:* | ||
| cpe:2.3:o:fujitsu:sparc_enterprise_m5000_firmware:*:*:*:*:*:*:*:* | xcp (incluyendo) | xcp_1121 (excluyendo) |
| cpe:2.3:h:fujitsu:sparc_enterprise_m5000:-:*:*:*:*:*:*:* | ||
| cpe:2.3:o:fujitsu:sparc_enterprise_m8000_firmware:*:*:*:*:*:*:*:* | xcp (incluyendo) | xcp_1121 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://blog.cryptographyengineering.com/2013/03/attack-of-week-rc4-is-kind-of-broken-in.html
- http://cr.yp.to/talks/2013.03.12/slides.pdf
- http://kb.juniper.net/InfoCenter/index?page=content&id=JSA10705
- http://marc.info/?l=bugtraq&m=143039468003789&w=2
- http://marc.info/?l=bugtraq&m=143039468003789&w=2
- http://my.opera.com/securitygroup/blog/2013/03/20/on-the-precariousness-of-rc4
- http://security.gentoo.org/glsa/glsa-201406-19.xml
- http://www.isg.rhul.ac.uk/tls/
- http://www.mozilla.org/security/announce/2013/mfsa2013-103.html
- http://www.opera.com/docs/changelogs/unified/1215/
- http://www.opera.com/security/advisory/1046
- http://www.oracle.com/technetwork/security-advisory/cpuapr2016v3-2985753.html
- http://www.oracle.com/technetwork/security-advisory/cpujan2018-3236628.html
- http://www.oracle.com/technetwork/security-advisory/cpujul2016-2881720.html
- http://www.oracle.com/technetwork/security-advisory/cpuoct2016-2881722.html
- http://www.oracle.com/technetwork/security-advisory/cpuoct2017-3236626.html
- http://www.securityfocus.com/bid/58796
- http://www.ubuntu.com/usn/USN-2031-1
- http://www.ubuntu.com/usn/USN-2032-1
- https://h20566.www2.hpe.com/portal/site/hpsc/public/kb/docDisplay?docId=emr_na-c05289935
- https://h20566.www2.hpe.com/portal/site/hpsc/public/kb/docDisplay?docId=emr_na-c05336888
- https://security.gentoo.org/glsa/201504-01
- http://blog.cryptographyengineering.com/2013/03/attack-of-week-rc4-is-kind-of-broken-in.html
- http://cr.yp.to/talks/2013.03.12/slides.pdf
- http://kb.juniper.net/InfoCenter/index?page=content&id=JSA10705
- http://marc.info/?l=bugtraq&m=143039468003789&w=2
- http://marc.info/?l=bugtraq&m=143039468003789&w=2
- http://my.opera.com/securitygroup/blog/2013/03/20/on-the-precariousness-of-rc4
- http://security.gentoo.org/glsa/glsa-201406-19.xml
- http://www.isg.rhul.ac.uk/tls/
- http://www.mozilla.org/security/announce/2013/mfsa2013-103.html
- http://www.opera.com/docs/changelogs/unified/1215/
- http://www.opera.com/security/advisory/1046
- http://www.oracle.com/technetwork/security-advisory/cpuapr2016v3-2985753.html
- http://www.oracle.com/technetwork/security-advisory/cpujan2018-3236628.html
- http://www.oracle.com/technetwork/security-advisory/cpujul2016-2881720.html
- http://www.oracle.com/technetwork/security-advisory/cpuoct2016-2881722.html
- http://www.oracle.com/technetwork/security-advisory/cpuoct2017-3236626.html
- http://www.securityfocus.com/bid/58796
- http://www.ubuntu.com/usn/USN-2031-1
- http://www.ubuntu.com/usn/USN-2032-1
- https://h20566.www2.hpe.com/portal/site/hpsc/public/kb/docDisplay?docId=emr_na-c05289935
- https://h20566.www2.hpe.com/portal/site/hpsc/public/kb/docDisplay?docId=emr_na-c05336888
- https://security.gentoo.org/glsa/201504-01