OpenSSL információ szivárgásos és szolgáltatás megtagadásos sérülékenység

2013. február 6. 15:14

CH azonosító

CH-8409

Angol cím

OpenSSL Information Disclosure and Denial of Service Vulnerabilities

Felfedezés dátuma

2013.02.05.

Súlyosság

Alacsony

Érintett rendszerek

OpenSSL
OpenSSL Software Foundation

Érintett verziók

OpenSSL 0.x, 1.x

Összefoglaló

Az OpenSSL több sérülékenységét jelentették, amiket kihasználva a támadók bizalmas információkat szerezhetnek, valamint szolgáltatás megtagadást (DoS – Denial of Service) idézhetnek elő a programkönyvtárt használó alkalmazásnál.

Leírás

A CBC (Cipher-Block Chaining) mód használata esetén a blokk titkosító algoritmussal használt message authentication code-ok (MAC) kezelésében lévő hibát kihasználva meg lehet szerezni a titkosított üzenet blokkból bizonyos egyszerű szövegként tárolt biteket.
A CBC módban használt TLS csomagok kezelésében lévő hibát kihasználva összeomlást lehet előidézni. A sérülékenységet az 1.0.1c verziót használó AES-NI platformon jelentették.
Az OCSP válasz ellenőrzés kezelésében közben fellépő hibát kihasználva az alkalmazás válasz képtelenné válik.

Az 1. és 3. sérülékenységet az 1.0.1c, 1.0.0j verziókban és a 0.9.8x és korábbi verziókban jelentették.

Legfrissebb sérülékenységek

CVE-2023-25859 – Adobe Illustrator sérülékenysége

CVE-2023-25860 – Adobe Illustrator sérülékenysége

CVE-2023-25861 – Adobe Illustrator sérülékenysége

CVE-2023-26358 – Adobe Creative Cloud sérülékenysége

CVE-2023-26426 – Adobe Illustrator sérülékenysége

CVE-2023-27855 – Rockwell Automation's ThinManager ThinServer sérülékenysége

CVE-2023-1256 – aveva / telemetry server, aveva / aveva plant scada sérülékenysége

CVE-2023-28100 – Flatpak sérülékenysége

CVE-2022-38063 – social login wp project / social login wp sérülékenysége

CVE-2023-25280 – dlink / dir820la1 firmware sérülékenysége

Tovább a sérülékenységekhez »

OpenSSL információ szivárgásos és szolgáltatás megtagadásos sérülékenység