OpenSSL két sérülékenysége

CH azonosító

CH-2626

Angol cím

OpenSSL Two Vulnerabilities

Felfedezés dátuma

2009.11.05.

Súlyosság

Alacsony

Érintett rendszerek

OpenSSL
OpenSSL Software Foundation

Érintett verziók

OpenSSL 0.x

Összefoglaló

Az OpenSSL két olyan sérülékenységét jelentették, melyek közül az egyiknek ismeretlen a hatása, míg a másikat a támadók kihasználhatják bizonyos adatok megváltoztatására.

Leírás

  1. A sérülékenységet a TLS protokoll hibája okozza, ami a munkafolyamatok újra egyeztetésekor lép fel. Ez kihasználható Man-in-the-Middle (MitM) támadásokkal tetszőleges kódolatlan szöveg beszúrására, mielőtt a valódi kliens elküldené az adatokat a már meglévő TLS munkafolyamatban.
    A sikeres kiaknázás például tetszőleges HTTP kérés elküldését teszi lehetővé, a hitelesítéssel kapcsolatosan, ha a szerver tanúsítvány alapú hitelesítést használ.
  2. A sérülékenységet az okozza, hogy a könyvtár nem megfelelően ellenőrzi a “bn_wexpand()” függvény visszaadott értékét.

Megoldás

Frissítsen a legújabb verzióra

Hivatkozások

Gyártói referencia: openssl.org
Gyártói referencia: archive.netbsd.se
Gyártói referencia: rt.openssl.org
Egyéb referencia: www.ietf.org
Egyéb referencia: extendedsubset.com
SECUNIA 37291
CVE-2009-3245 - NVD CVE-2009-3245
CVE-2009-3555 - NVD CVE-2009-3555


Legfrissebb sérülékenységek
CVE-2024-53104 – Linux Kernel sérülékenysége
CVE-2014-4078 – Microsoft Exchange szerver sérülékenység
CVE-2025-6170 – Red Hat sebezhetősége
CVE-2025-6021 – Red Hat sebezhetősége
CVE-2025-49796 – Red Hat sebezhetősége
CVE-2025-5777 – Citrix NetScaler sebezhetősége
CVE-2025-49825 – Teleport sebezhetősége
CVE-2025-4322 – WordPress sérülékenység
CVE-2025-37091 – HPE StoreOnce Remote Code Execution sebezhetősége
CVE-2025-37093 – HPE StoreOnce Authentication Bypass sebezhetősége
Tovább a sérülékenységekhez »