OpenSSL DTLS szolgáltatás megtagadás sérülékenységek

CH azonosító

CH-2191

Felfedezés dátuma

2009.05.17.

Súlyosság

Alacsony

Érintett rendszerek

OpenSSL
OpenSSL Software Foundation

Érintett verziók

OpenSSL Software Foundation OpenSSL 0.9.x

Összefoglaló

Néhány sérülékenységet jelentettek az OpenSSL-ben, amelyet a támadók kihasználhatnak szolgáltatás megtagadás (DoS) előidézéséhez.

Leírás

Két sérülékenységet jelentettek az OpenSSL-ben, amelyet a rosszindulatú támadók kihasználhatnak szolgáltatás megtagadás (DoS) előidézéséhez.

  1. A programkönyvtár nem korlátozza a pufferelt DTLS rekordok számát. Ez kihasználható az összes rendelkezésre álló memória felhasználásához speciálisan elkészített DTLS csomagok segítségével.
  2. A DTLS üzenetek feldolgozásakor jelentkező hiba kihasználható az összes rendelkezésre álló memória felhasználásához nagy számú sorrend hibás “handshake” üzenetek küldésével.
  3. Egy felszabadítás utáni használat a “dtls1_retrieve_buffered_fragment()” függvényben kihasználható a kliens lefagyasztására.

Megoldás

Használja a verziókövető rendszerben lévő javított verziót!
http://cvs.openssl.org/chngview?cn=18187
http://cvs.openssl.org/chngview?cn=18188
http://cvs.openssl.org/chngview?cn=18154

Hivatkozások

CVE-2009-1378 - NVD CVE-2009-1378
SECUNIA:http://rt.openssl.org/Ticket/Display.html?id=1923
CVE-2009-1377 - NVD CVE-2009-1377
Gyártói referencia: rt.openssl.org
Gyártói referencia: rt.openssl.org
CVE-2009-1379 - NVD CVE-2009-1379
SECUNIA 35128


Legfrissebb sérülékenységek
CVE-2024-53104 – Linux Kernel sérülékenysége
CVE-2025-21479 – Qualcomm Multiple Chipsets Incorrect Authorization sérülékenysége
CVE-2025-5419 – Google Chromium V8 Out-of-Bounds Read and Write sérülékenysége
CVE-2025-27038 – Qualcomm Multiple Chipsets Use-After-Free sérülékenysége
CVE-2025-21480 – Qualcomm Multiple Chipsets Incorrect Authorization sérülékenysége
CVE-2023-41348 – ASUS RT-AX55 sérülékenysége
CVE-2023-41347 – ASUS RT-AX55 sérülékenysége
CVE-2023-41346 – ASUS RT-AX55 sérülékenysége
CVE-2023-41345 – ASUS RT-AX55 sérülékenysége
CVE-2023-39780 – ASUS RT-AX55 Routers OS Command Injection sérülékenysége
Tovább a sérülékenységekhez »