MEDIUM✓ PATCH🇬🇧 English

CVE-2015-5291

CVSS 6.8v2.0pub. 2015-11-02upd. 2026-06-05

Heap-based buffer overflow in PolarSSL 1.x before 1.2.17 and ARM mbed TLS (formerly PolarSSL) 1.3.x before 1.3.14 and 2.x before 2.1.2 allows remote SSL servers to cause a denial of service (client crash) and possibly execute arbitrary code via a long hostname to the server name indication (SNI) extension, which is not properly handled when creating a ClientHello message. NOTE: this identifier has been SPLIT per ADT3 due to different affected version ranges. See CVE-2015-8036 for the session ticket issue that was introduced in 1.3.0.

oryginał EN
CVSS Vector
AV:N/AC:M/Au:N/C:P/I:P/A:P
  • Debian

    OS
    Debian
    7.08.0
  • Fedora Project Fedora

    OS
    Fedoraproject
    212223
  • Opensuse Leap

    OS
    Opensuse
    42.1
  • Opensuse

    OS
    Opensuse
    13.2
  • Polarssl

    APP
    Polarssl
    1.0.0 – 1.2.17 (bez)
  • Trustedfirmware Mbed Tls

    APP
    Trustedfirmware
    2.0.0 – 2.1.2 (bez)1.3.0 – 1.3.14 (bez)
🟢
PATCH DOSTĘPNY
Aktualizacja od producenta gotowa. Wdrożenie w ramach standardowego cyklu.
Tagi
RCEDoSMemory
CWE
Referencje

Powiązane podatności

CVE-2026-24061CRITICAL9.8⚠ KEVPL ✓ten sam produkt

GNU Inetutils telnetd: ominięcie uwierzytelnienia przez zmienną USER

CVE-2025-32463CRITICAL9.3⚠ KEVPL ✓ten sam produkt

Sudo: eskalacja uprawnień do root poprzez opcję --chroot (CVE-2025-32463)

CVE-2025-49113CRITICAL9.9⚠ KEVPL ✓ten sam produkt

RCE przez deserializację PHP w Roundcube Webmail (parametr _from)

CVE-2025-32433CRITICAL10.0⚠ KEVPL ✓ten sam produkt

Erlang/OTP SSH — nieuwierzytelniony RCE (CVSS 10.0)

CVE-2025-24201CRITICAL10.0⚠ KEVPL ✓ten sam produkt

Apple WebKit: out-of-bounds write umożliwiający ucieczkę z sandbox przeglądarki