CH azonosító
CH-4331Angol cím
OpenSSL ClientHello Handshake Message Parsing VulnerabilityFelfedezés dátuma
2011.02.07.Súlyosság
KözepesÉrintett rendszerek
OpenSSLOpenSSL Software Foundation
Érintett verziók
OpenSSL 0.9.8h - 0.9.8q, 1.0.0 - 1.0.0c
Összefoglaló
Az OpenSSL olyan sérülékenysége vált ismertté, amelyer a támadók kihasználhatnak bizalmas információk felfedésére vagy szolgáltatás megtagadás (DoS – Denial of Service) okozására.
Leírás
A sérülékenységet bizonyos rosszindulatú kódot tartalmazó ClientHello handshake üzenetek elemzésekor jelentkező hiba okozza, amely kihasználható érvénytelen memória hozzáférés okozására a szervernek küldött, speciálisan kialakított ClientHello handshake üzenetekkel. Az alkalmazástól függően a kielemzett OCSP (Online Certificate Status Protocol) kiterjesztések tartalmának felfedésére is lehetőség van.
Megjegyzés: A sérülékenység csak saját SSL_CTX-ükön az „SSL_CTX_set_tlsext_status_cb()” függvényt használó szervereket érintik (pl. Apache httpd 2.3.3. vagy későbbi verziók).
Megoldás
Frissítsen a 0.9.8r. vagy 1.0.0d. verzióra vagy alkalmazza a javítócsomagokat!
Támadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of availability (Elérhetőség elvesztése)Loss of confidentiality (Bizalmasság elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: www.openssl.org
SECUNIA 43227
CVE-2011-0014 - NVD CVE-2011-0014
