CH azonosító
CH-2626Angol cím
OpenSSL Two VulnerabilitiesFelfedezés dátuma
2009.11.05.Súlyosság
AlacsonyÖsszefoglaló
Az OpenSSL két olyan sérülékenységét jelentették, melyek közül az egyiknek ismeretlen a hatása, míg a másikat a támadók kihasználhatják bizonyos adatok megváltoztatására.
Leírás
- A sérülékenységet a TLS protokoll hibája okozza, ami a munkafolyamatok újra egyeztetésekor lép fel. Ez kihasználható Man-in-the-Middle (MitM) támadásokkal tetszőleges kódolatlan szöveg beszúrására, mielőtt a valódi kliens elküldené az adatokat a már meglévő TLS munkafolyamatban.
A sikeres kiaknázás például tetszőleges HTTP kérés elküldését teszi lehetővé, a hitelesítéssel kapcsolatosan, ha a szerver tanúsítvány alapú hitelesítést használ. - A sérülékenységet az okozza, hogy a könyvtár nem megfelelően ellenőrzi a “bn_wexpand()” függvény visszaadott értékét.
Megoldás
Frissítsen a legújabb verzióraTámadás típusa
Hijacking (Visszaélés)Hatás
Loss of integrity (Sértetlenség elvesztése)Unknown (Ismeretlen)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: openssl.org
Gyártói referencia: archive.netbsd.se
Gyártói referencia: rt.openssl.org
Egyéb referencia: www.ietf.org
Egyéb referencia: extendedsubset.com
SECUNIA 37291
CVE-2009-3245 - NVD CVE-2009-3245
CVE-2009-3555 - NVD CVE-2009-3555