Érintett rendszerek
OpenSSLOpenSSL Software Foundation
Érintett verziók
OpenSSL Software Foundation OpenSSL 0.9.x
Összefoglaló
Jelentettek néhány sérülékenységet az OpenSSL-ben, melyeket rosszindulatú támadók kihasználhatnak szolgáltatás megtagadás (DoS) előidézésére és az érintett rendszer feltörésére.
Leírás
Jelentettek néhány sérülékenységet az OpenSSL-ben, melyeket rosszindulatú támadók kihasználhatnak szolgáltatás megtagadás (DoS) előidézésére és az érintett rendszer feltörésére.
-
Bizonyos ASN.1 struktúrák feldolgozásában rejlő hibát kihasználva a megbízhatatlan forrású ASN.1 adatokat feldolgozó OpenSSL-es programban egy végtelen ciklust lehet előidézni és így folyamatosan növelni a rendszermemória felhasználását.
Figyelem, ez a hiba nem érinti a 0.9.7-nél korábbi verziókat. - Bizonyos típusú nyilvános kulcsok feldolgozása túl sok időt vesz igénybe, ezt kihasználva a megbízhatatlan forrású ASN.1 adatokat feldolgozó OpenSSL-es programban szolgáltatás megtagadást (DoS) lehet előidézni.
-
Egy hibát kihasználva az “SSL_get_shared_ciphers()” funkcióban puffer túlcsordulást idézhető elő, ha az adott funkciót használó programnak egy sor titkosított információt küldenek.
Sikeres kiaknázás tetszőleges kód futtatását teszi lehetővé. - Egy hibát kihasználva az SSLv2 kliens kódjában egy rosszindulatú szerver összeomlaszthatja az SSLv2 kapcsolatot a szerverhez kiépítő OpenSSL-es klienst.
Megoldás
Frissítsen a legújabb verzióraTámadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of availability (Elérhetőség elvesztése)Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: www.openssl.org
SECUNIA 22130
CVE-2006-2937 - NVD CVE-2006-2937
CVE-2006-2940 - NVD CVE-2006-2940
CVE-2006-3738 - NVD CVE-2006-3738
CVE-2006-4343 - NVD CVE-2006-4343
US-CERT 247744
US-CERT 386964
US-CERT 423396
US-CERT 547300
CVE-2007-5135 - NVD CVE-2007-5135