OpenSSL többszörös DoS sebezhetőség

CH azonosító

CH-136

Felfedezés dátuma

2006.09.30.

Súlyosság

Magas

Érintett rendszerek

OpenSSL
OpenSSL Software Foundation

Érintett verziók

OpenSSL Software Foundation OpenSSL 0.9.x

Összefoglaló

Jelentettek néhány sérülékenységet az OpenSSL-ben, melyeket rosszindulatú támadók kihasználhatnak szolgáltatás megtagadás (DoS) előidézésére és az érintett rendszer feltörésére.

Leírás

Jelentettek néhány sérülékenységet az OpenSSL-ben, melyeket rosszindulatú támadók kihasználhatnak szolgáltatás megtagadás (DoS) előidézésére és az érintett rendszer feltörésére.

  1. Bizonyos ASN.1 struktúrák feldolgozásában rejlő hibát kihasználva a megbízhatatlan forrású ASN.1 adatokat feldolgozó OpenSSL-es programban egy végtelen ciklust lehet előidézni és így folyamatosan növelni a rendszermemória felhasználását.

    Figyelem, ez a hiba nem érinti a 0.9.7-nél korábbi verziókat.
  2. Bizonyos típusú nyilvános kulcsok feldolgozása túl sok időt vesz igénybe, ezt kihasználva a megbízhatatlan forrású ASN.1 adatokat feldolgozó OpenSSL-es programban szolgáltatás megtagadást (DoS) lehet előidézni.
  3. Egy hibát kihasználva az “SSL_get_shared_ciphers()” funkcióban puffer túlcsordulást idézhető elő, ha az adott funkciót használó programnak egy sor titkosított információt küldenek.

    Sikeres kiaknázás tetszőleges kód futtatását teszi lehetővé.
  4. Egy hibát kihasználva az SSLv2 kliens kódjában egy rosszindulatú szerver összeomlaszthatja az SSLv2 kapcsolatot a szerverhez kiépítő OpenSSL-es klienst.

Megoldás

Frissítsen a legújabb verzióra

Legfrissebb sérülékenységek
CVE-2024-29944 – Mozilla Firefox ESR sérülékenysége
CVE-2024-29943 – Mozilla Firefox sérülékenysége
CVE-2024-28916 – Xbox Gaming Services sérülékenysége
CVE-2023-46808 – Ivanti Neurons for ITSM sérülékenysége
CVE-2024-2169 – UDP sérülékenysége
CVE-2023-41724 – Ivanti Standalone Sentry sérülékenysége
CVE-2024-27957 – Pie Register sérülékenysége
CVE-2024-25153 – Fortra FileCatalyst sérülékenysége
CVE-2024-21407 – Windows Hyper-V sérülékenysége
CVE-2024-21390 – Microsoft Authenticator sérülékenysége
Tovább a sérülékenységekhez »