OpenSSL információ szivárgásos és szolgáltatás megtagadásos sérülékenység

CH azonosító

CH-8409

Angol cím

OpenSSL Information Disclosure and Denial of Service Vulnerabilities

Felfedezés dátuma

2013.02.05.

Súlyosság

Alacsony

Érintett rendszerek

OpenSSL
OpenSSL Software Foundation

Érintett verziók

OpenSSL 0.x, 1.x

Összefoglaló

Az OpenSSL több sérülékenységét jelentették, amiket kihasználva a támadók bizalmas információkat szerezhetnek, valamint szolgáltatás megtagadást (DoS – Denial of Service) idézhetnek elő a programkönyvtárt használó alkalmazásnál.

Leírás

  1. A CBC (Cipher-Block Chaining) mód használata esetén a blokk titkosító algoritmussal használt message authentication code-ok (MAC) kezelésében lévő hibát kihasználva meg lehet szerezni a titkosított üzenet blokkból bizonyos egyszerű szövegként tárolt biteket.
  2. A CBC módban használt TLS csomagok kezelésében lévő hibát kihasználva összeomlást lehet előidézni. A sérülékenységet az 1.0.1c verziót használó AES-NI platformon jelentették.
  3. Az OCSP válasz ellenőrzés kezelésében közben fellépő hibát kihasználva az alkalmazás válasz képtelenné válik.

Az 1. és 3. sérülékenységet az 1.0.1c, 1.0.0j verziókban és a 0.9.8x és korábbi verziókban jelentették.

Megoldás

Frissítsen a legújabb verzióra