Érintett rendszerek
OpenSSLOpenSSL Software Foundation
Érintett verziók
OpenSSL Software Foundation OpenSSL 0.9.8h - 0.9.8n, 1.0.0
Összefoglaló
Az OpenSSL két olyan sérülékenységét jelentették, melyeket a támadók kihasználhatnak a könyvtárat használó alkalmazás feltörésére vagy spoofing (megtévesztésen alapuló) támadásokra.
Leírás
Az OpenSSL két olyan sérülékenységét jelentették, melyeket a támadók kihasználhatnak a könyvtárat használó alkalmazás feltörésére vagy spoofing (megtévesztésen alapuló) támadásokra.
-
A CMS (Cryptographic Message Syntax) struktúrák kezelési hibája tetszőleges kód
futtatására használható ki.A sebezhetőség a 0.9.8g utáni és 0.9.8o előtti, valamint az 1.0.0. verziókat érinti.
-
Hibaüzenet helyett egy kezdeti értékkel nem rendelkező puffer a visszatérési érték, ha a ellenőrzés helyreállítási folyamat sikertelen. Ez kihasználható a “EVP_PKEY_verify_recover()” eljárást használó alkalmazásokban a kulcs hitelesítés átlépésére.
A sebezhetőség az 1.0.0. verziót érinti.
Megoldás
Frissítsen a legújabb verzióraTámadás típusa
Input manipulation (Bemenet módosítás)Other (Egyéb)
Hatás
Loss of availability (Elérhetőség elvesztése)Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
SECUNIA 40024
Gyártói referencia: www.openssl.org
SECUNIA 40000
CVE-2010-0742 - NVD CVE-2010-0742
CVE-2010-1633 - NVD CVE-2010-1633