OpenSSL információ szivárgásos és szolgáltatás megtagadásos sérülékenység


2013. február 6. 15:14

CH azonosító

CH-8409

Angol cím

OpenSSL Information Disclosure and Denial of Service Vulnerabilities

Felfedezés dátuma

2013.02.05.

Súlyosság

Alacsony

Érintett rendszerek

OpenSSL
OpenSSL Software Foundation

Érintett verziók

OpenSSL 0.x, 1.x

Összefoglaló

Az OpenSSL több sérülékenységét jelentették, amiket kihasználva a támadók bizalmas információkat szerezhetnek, valamint szolgáltatás megtagadást (DoS – Denial of Service) idézhetnek elő a programkönyvtárt használó alkalmazásnál.

Leírás

  1. A CBC (Cipher-Block Chaining) mód használata esetén a blokk titkosító algoritmussal használt message authentication code-ok (MAC) kezelésében lévő hibát kihasználva meg lehet szerezni a titkosított üzenet blokkból bizonyos egyszerű szövegként tárolt biteket.
  2. A CBC módban használt TLS csomagok kezelésében lévő hibát kihasználva összeomlást lehet előidézni. A sérülékenységet az 1.0.1c verziót használó AES-NI platformon jelentették.
  3. Az OCSP válasz ellenőrzés kezelésében közben fellépő hibát kihasználva az alkalmazás válasz képtelenné válik.

Az 1. és 3. sérülékenységet az 1.0.1c, 1.0.0j verziókban és a 0.9.8x és korábbi verziókban jelentették.

Megoldás

Frissítsen a legújabb verzióra

Támadás típusa

Input manipulation (Bemenet módosítás)
Other (Egyéb)

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

Gyártói referencia: www.openssl.org
Egyéb referencia: www.isg.rhul.ac.uk
CVE-2012-2686 - NVD CVE-2012-2686
CVE-2013-0166 - NVD CVE-2013-0166
CVE-2013-0169 - NVD CVE-2013-0169
SECUNIA 52036

Legfrissebb sérülékenységek
CVE-2026-21241 – Windows Ancillary Function Driver for WinSock Elevation of Privilege sérülékenység
CVE-2025-40540 – SolarWinds Serv-U Type Confusion Remote Code Execution sérülékenység
CVE-2025-40539 – SolarWinds Serv-U Type Confusion Remote Code Execution sérülékenysége
CVE-2025-40538 – SolarWinds Serv-U Broken Access Control Remote Code Execution sérülékenysége
CVE-2026-25108 – Soliton Systems K.K FileZen OS Command Injection sérülékenység
CVE-2025-68461 – RoundCube Webmail Cross-site Scripting sérülékenység
CVE-2026-22769 – Dell RecoverPoint for Virtual Machines (RP4VMs) Use of Hard-coded Credentials sérülékenység
CVE-2021-22175 – GitLab Server-Side Request Forgery (SSRF) sérülékenység
CVE-2008-0015 – Microsoft Windows Video ActiveX Control Remote Code Execution sérülékenység
CVE-2024-7694 – TeamT5 ThreatSonar Anti-Ransomware Unrestricted Upload of File with Dangerous Type sérülékenység
Tovább a sérülékenységekhez »