OpenSSL ClientHello handshake üzenet elemzés sérülékenysége

CH azonosító

CH-4331

Angol cím

OpenSSL ClientHello Handshake Message Parsing Vulnerability

Felfedezés dátuma

2011.02.07.

Súlyosság

Közepes

Érintett rendszerek

OpenSSL
OpenSSL Software Foundation

Érintett verziók

OpenSSL 0.9.8h - 0.9.8q, 1.0.0 - 1.0.0c

Összefoglaló

Az OpenSSL olyan sérülékenysége vált ismertté, amelyer a támadók kihasználhatnak bizalmas információk felfedésére vagy szolgáltatás megtagadás (DoS – Denial of Service) okozására.

Leírás

A sérülékenységet bizonyos rosszindulatú kódot tartalmazó ClientHello handshake üzenetek elemzésekor jelentkező hiba okozza, amely kihasználható érvénytelen memória hozzáférés okozására a szervernek küldött, speciálisan kialakított ClientHello handshake üzenetekkel. Az alkalmazástól függően a kielemzett OCSP (Online Certificate Status Protocol) kiterjesztések tartalmának felfedésére is lehetőség van.

Megjegyzés: A sérülékenység csak saját SSL_CTX-ükön az “SSL_CTX_set_tlsext_status_cb()” függvényt használó szervereket érintik (pl. Apache httpd 2.3.3. vagy későbbi verziók).

Megoldás

Frissítsen a 0.9.8r. vagy 1.0.0d. verzióra vagy alkalmazza a javítócsomagokat!