CH azonosító
CH-14320Angol cím
Open SSL vulnerabilitiesFelfedezés dátuma
2017.12.07.Súlyosság
MagasÉrintett rendszerek
OpenSSL Software FoundationÉrintett verziók
Minden 1.0.2n előtti OpenSSL verzió
Összefoglaló
Két OpenSSL sérülékenység került feltárásra, mely során egy távoli felhasználó bizonyos esetekben hozzáférhet a célrendszeren tárolt érzékeny információkhoz. Egyes, ritka esetekben a távoli felhasználó megkerülheti a titkosítási eljárásokat is.
Leírás
A távoli felhasználó kihasználhat egy túlcsordulási hibát az AVX2 Montgomery-szorzási eljárásban, amelyet 1024 bites modullal történő exponenciálásra használnak, hogy bizonyos helyzetekben potenciálisan meghatározhassák a privát kulcsot. Azok a processzorok érintettek, amik AVX2 kiterjesztést használnak, és nem ADX-et.
Egy távoli felhasználó segítségül hívhatja a kézfogás eljárás hibáját, hogy megcélozzon egy OpenSSL hibakezelési sebezhetőséget az olyan alkalmazásokban, amelyek SSL_read () vagy SSL_write () hívást adnak egy SSL objektumhoz végzetes hiba vétele után. A távoli felhasználó így akár a titkosítási eljárásokat is megkerülheti.
Megoldás
Telepíteni szükséges a gyártói javítást (1.0.2n)
Támadás típusa
Buffer ErrorsMemory Corruption
Security bypass (Biztonsági szabályok megkerülése)
Hatás
Loss of availability (Elérhetőség elvesztése)Loss of confidentiality (Bizalmasság elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: securitytracker.com
Gyártói referencia: www.openssl.org
CVE-2017-3737 - NVD CVE-2017-3737
CVE-2017-3738 - NVD CVE-2017-3738
