CH azonosító
CH-13580Angol cím
OpenSSL Security AdvisoryFelfedezés dátuma
2016.09.21.Súlyosság
KözepesÖsszefoglaló
Az OpenSSL magas, közepes és alacsony kockázati besorolású sérülékenységei váltak ismertté, melyeket kihasználva a támadó bizalmas információkhoz férhet hozzá, vagy szolgáltatásmegtagadásos támadást okozhat. A sérülékenységeket kiküszöbölő megoldás már beszerezhető a gyártótól.
Leírás
Az OpenSSL új verziójában több biztonsági hiba is javításra került. A legsúlyosabb az alkalmazás összeomlását idézheti elő.
A fejlesztők az alábbi összetevők, funkciók kapcsán foltoztak be biztonsági réseket:
- OCSP állapot kérelem
- SSL_peek () függvény
- SWEET32
- MDC2_ () függvény
- Rosszul formázott SHA512
- BN_bn2dec () függvény
- TS_OBJ_print_bio () függvény
- DSA aláírás
- DTLS pufferelt üzenet
- DTLS visszajátszás védelem
- Certificate üzenet OOB
- tls_get_message_header () függvény
- dtls1_preprocess_fragment () függvény
Megoldás
OpenSSL 1.1.0 frissítése 1.1.0a OpenSSL 1.0.2 frissítése 1.0.2i
OpenSSL 1.0.1 frissítése 1.0.1u
Támadás típusa
Deny of service (Szolgáltatás megtagadás)Information disclosure (Információ/adat szivárgás)
man in the middle
Hatás
Loss of availability (Elérhetőség elvesztése)Loss of confidentiality (Bizalmasság elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: www.openssl.org
Egyéb referencia: tools.cisco.com
Egyéb referencia: www.heise.de
CVE-2016-2177 - NVD CVE-2016-2177
CVE-2016-2178 - NVD CVE-2016-2178
CVE-2016-2179 - NVD CVE-2016-2179
CVE-2016-2180 - NVD CVE-2016-2180
CVE-2016-2181 - NVD CVE-2016-2181
CVE-2016-2182 - NVD CVE-2016-2182
CVE-2016-2183 - NVD CVE-2016-2183
CVE-2016-6302 - NVD CVE-2016-6302
CVE-2016-6303 - NVD CVE-2016-6303
CVE-2016-6304 - NVD CVE-2016-6304
CVE-2016-6305 - NVD CVE-2016-6305
CVE-2016-6306 - NVD CVE-2016-6306
CVE-2016-6307 - NVD CVE-2016-6307
CVE-2016-6308 - NVD CVE-2016-6308