OpenSSL DTLS szolgáltatás megtagadás sérülékenységek

CH azonosító

CH-2191

Felfedezés dátuma

2009.05.17.

Súlyosság

Alacsony

Érintett rendszerek

OpenSSL
OpenSSL Software Foundation

Érintett verziók

OpenSSL Software Foundation OpenSSL 0.9.x

Összefoglaló

Néhány sérülékenységet jelentettek az OpenSSL-ben, amelyet a támadók kihasználhatnak szolgáltatás megtagadás (DoS) előidézéséhez.

Leírás

Két sérülékenységet jelentettek az OpenSSL-ben, amelyet a rosszindulatú támadók kihasználhatnak szolgáltatás megtagadás (DoS) előidézéséhez.

  1. A programkönyvtár nem korlátozza a pufferelt DTLS rekordok számát. Ez kihasználható az összes rendelkezésre álló memória felhasználásához speciálisan elkészített DTLS csomagok segítségével.
  2. A DTLS üzenetek feldolgozásakor jelentkező hiba kihasználható az összes rendelkezésre álló memória felhasználásához nagy számú sorrend hibás “handshake” üzenetek küldésével.
  3. Egy felszabadítás utáni használat a “dtls1_retrieve_buffered_fragment()” függvényben kihasználható a kliens lefagyasztására.

Megoldás

Használja a verziókövető rendszerben lévő javított verziót!
http://cvs.openssl.org/chngview?cn=18187
http://cvs.openssl.org/chngview?cn=18188
http://cvs.openssl.org/chngview?cn=18154

Hivatkozások

CVE-2009-1378 - NVD CVE-2009-1378
SECUNIA:http://rt.openssl.org/Ticket/Display.html?id=1923
CVE-2009-1377 - NVD CVE-2009-1377
Gyártói referencia: rt.openssl.org
Gyártói referencia: rt.openssl.org
CVE-2009-1379 - NVD CVE-2009-1379
SECUNIA 35128