OpenSSL információ szivárgásos és szolgáltatás megtagadásos sérülékenység

2013. február 6. 15:14

CH azonosító

CH-8409

Angol cím

OpenSSL Information Disclosure and Denial of Service Vulnerabilities

Felfedezés dátuma

2013.02.05.

Súlyosság

Alacsony

Érintett rendszerek

OpenSSL
OpenSSL Software Foundation

Érintett verziók

OpenSSL 0.x, 1.x

Összefoglaló

Az OpenSSL több sérülékenységét jelentették, amiket kihasználva a támadók bizalmas információkat szerezhetnek, valamint szolgáltatás megtagadást (DoS – Denial of Service) idézhetnek elő a programkönyvtárt használó alkalmazásnál.

Leírás

A CBC (Cipher-Block Chaining) mód használata esetén a blokk titkosító algoritmussal használt message authentication code-ok (MAC) kezelésében lévő hibát kihasználva meg lehet szerezni a titkosított üzenet blokkból bizonyos egyszerű szövegként tárolt biteket.
A CBC módban használt TLS csomagok kezelésében lévő hibát kihasználva összeomlást lehet előidézni. A sérülékenységet az 1.0.1c verziót használó AES-NI platformon jelentették.
Az OCSP válasz ellenőrzés kezelésében közben fellépő hibát kihasználva az alkalmazás válasz képtelenné válik.

Az 1. és 3. sérülékenységet az 1.0.1c, 1.0.0j verziókban és a 0.9.8x és korábbi verziókban jelentették.

Legfrissebb sérülékenységek

CVE-2024-53104 – Linux Kernel sérülékenysége

CVE-2025-20236 – Cisco Webex App sebezhetősége

CVE-2017-5754 – Linux Kernel sebezhetősége

CVE-2014-0160 – OpenSSL Information Disclosure sebezhetősége

CVE-2025-23010 – SonicWall NetExtender Improper Link Resolution Before File Access ('Link Following') sebezhetősége

CVE-2025-23009 – SonicWall NetExtender Local Privilege Escalation sebezhetősége

CVE-2025-23008 – SonicWall NetExtender Improper Privilege Management sebezhetősége

CVE-2024-0132 – NVIDIA Container Toolkit sérülékenysége

CVE-2025-3102 – SureTriggers sérülékenysége

CVE-2025-24859 – Apache Roller sebezhetősége

Tovább a sérülékenységekhez »

OpenSSL információ szivárgásos és szolgáltatás megtagadásos sérülékenység