Érintett rendszerek
OpenSSLOpenSSL Software Foundation
Érintett verziók
OpenSSL Software Foundation OpenSSL 0.9.x
Összefoglaló
Néhány sérülékenységet jelentettek az OpenSSL-ben, amelyet a támadók kihasználhatnak szolgáltatás megtagadás (DoS) előidézéséhez.
Leírás
Két sérülékenységet jelentettek az OpenSSL-ben, amelyet a rosszindulatú támadók kihasználhatnak szolgáltatás megtagadás (DoS) előidézéséhez.
- A programkönyvtár nem korlátozza a pufferelt DTLS rekordok számát. Ez kihasználható az összes rendelkezésre álló memória felhasználásához speciálisan elkészített DTLS csomagok segítségével.
- A DTLS üzenetek feldolgozásakor jelentkező hiba kihasználható az összes rendelkezésre álló memória felhasználásához nagy számú sorrend hibás “handshake” üzenetek küldésével.
- Egy felszabadítás utáni használat a “dtls1_retrieve_buffered_fragment()” függvényben kihasználható a kliens lefagyasztására.
Megoldás
Használja a verziókövető rendszerben lévő javított verziót!
http://cvs.openssl.org/chngview?cn=18187
http://cvs.openssl.org/chngview?cn=18188
http://cvs.openssl.org/chngview?cn=18154
Támadás típusa
Deny of service (Szolgáltatás megtagadás)Other (Egyéb)
Hatás
Loss of availability (Elérhetőség elvesztése)Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
CVE-2009-1378 - NVD CVE-2009-1378
SECUNIA:http://rt.openssl.org/Ticket/Display.html?id=1923
CVE-2009-1377 - NVD CVE-2009-1377
Gyártói referencia: rt.openssl.org
Gyártói referencia: rt.openssl.org
CVE-2009-1379 - NVD CVE-2009-1379
SECUNIA 35128