Open SSL sérülékenységek

CH azonosító

CH-14320

Angol cím

Open SSL vulnerabilities

Felfedezés dátuma

2017.12.07.

Súlyosság

Magas

Érintett rendszerek

OpenSSL Software Foundation

Érintett verziók

Minden 1.0.2n előtti OpenSSL verzió

Összefoglaló

Két OpenSSL sérülékenység került feltárásra, mely során egy távoli felhasználó bizonyos esetekben hozzáférhet a célrendszeren tárolt érzékeny információkhoz. Egyes, ritka esetekben a távoli felhasználó megkerülheti a titkosítási eljárásokat is.

Leírás

A távoli felhasználó kihasználhat egy túlcsordulási hibát az AVX2 Montgomery-szorzási eljárásban, amelyet 1024 bites modullal történő exponenciálásra használnak, hogy bizonyos helyzetekben potenciálisan meghatározhassák a privát kulcsot. Azok a processzorok érintettek, amik AVX2 kiterjesztést használnak, és nem ADX-et.

Egy távoli felhasználó segítségül hívhatja a kézfogás eljárás hibáját, hogy megcélozzon egy OpenSSL hibakezelési sebezhetőséget az olyan alkalmazásokban, amelyek SSL_read () vagy SSL_write () hívást adnak egy SSL objektumhoz végzetes hiba vétele után. A távoli felhasználó így akár a titkosítási eljárásokat is megkerülheti.

 

Megoldás

Telepíteni szükséges a gyártói javítást (1.0.2n)