OpenSSL információ szivárgásos és szolgáltatás megtagadásos sérülékenység

2013. február 6. 15:14

CH azonosító

CH-8409

Angol cím

OpenSSL Information Disclosure and Denial of Service Vulnerabilities

Felfedezés dátuma

2013.02.05.

Súlyosság

Alacsony

Érintett rendszerek

OpenSSL
OpenSSL Software Foundation

Érintett verziók

OpenSSL 0.x, 1.x

Összefoglaló

Az OpenSSL több sérülékenységét jelentették, amiket kihasználva a támadók bizalmas információkat szerezhetnek, valamint szolgáltatás megtagadást (DoS – Denial of Service) idézhetnek elő a programkönyvtárt használó alkalmazásnál.

Leírás

A CBC (Cipher-Block Chaining) mód használata esetén a blokk titkosító algoritmussal használt message authentication code-ok (MAC) kezelésében lévő hibát kihasználva meg lehet szerezni a titkosított üzenet blokkból bizonyos egyszerű szövegként tárolt biteket.
A CBC módban használt TLS csomagok kezelésében lévő hibát kihasználva összeomlást lehet előidézni. A sérülékenységet az 1.0.1c verziót használó AES-NI platformon jelentették.
Az OCSP válasz ellenőrzés kezelésében közben fellépő hibát kihasználva az alkalmazás válasz képtelenné válik.

Az 1. és 3. sérülékenységet az 1.0.1c, 1.0.0j verziókban és a 0.9.8x és korábbi verziókban jelentették.

Legfrissebb sérülékenységek

CVE-2023-34362 – Progress MOVEit Transfer sérülékenysége

CVE-2023-33960 – OpenProject sérülékenysége

CVE-2023-32324 – OpenPrinting CUPS sérülékenysége

CVE-2023-28066 – Dell OS Recovery Tool sérülékenysége

CVE-2023-26278 – IBM QRadar WinCollect Agent sérülékenysége

CVE-2023-26277 – IBM QRadar WinCollect Agent sérülékenysége

CVE-2023-2650 – OpenSSL sérülékenysége

CVE-2023-0766 – Newsletter popup sérülékenysége

CVE-2023-1938 – WP Fastest Cache for WordPress sérülékenysége

CVE-2023-33175 – Python ToUI modul sérülékenysége

Tovább a sérülékenységekhez »

OpenSSL információ szivárgásos és szolgáltatás megtagadásos sérülékenység