CH azonosító
CH-13583Angol cím
OpenSSL Large Message Sizes Use-After-Free VulnerabilityFelfedezés dátuma
2016.09.25.Súlyosság
KritikusÖsszefoglaló
Az OpenSSL KRITIKUS kockázati besorolású sérülékenysége vált ismertté, melyet kihasználva a támadó tetszőleges kód futtatására adhat módot, vagy szolgáltatásmegtagadásos támadást okozhat. A sérülékenységeket kiküszöbölő megoldás már beszerezhető a gyártótól.
Leírás
A támadónak egy memóriakorrupciós sérülékenység (use-after free) kihasználásával lehetősége nyílik tetszőleges kód futtatásra, valamint az érintett alkalmazás összeomlását idézheti elő (DoS). A sérülékenység 16 kB-nál nagyobb üzenet küldésével használható ki az érintett rendszeren.
Megoldás
Frissítsen a legújabb verzióraMegoldás
A gyártó által kiadott (OpenSSL 1.1.0b) frissítés minél előbbi telepítése.
Támadás típusa
Deny of service (Szolgáltatás megtagadás)Memory Corruption
execute arbitrary code
Hatás
Loss of availability (Elérhetőség elvesztése)Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: www.openssl.org
Egyéb referencia: tools.cisco.com
CVE-2016-6309 - NVD CVE-2016-6309