OpenSSL két sérülékenysége

CH azonosító

CH-3173

Felfedezés dátuma

2010.06.01.

Súlyosság

Közepes

Érintett rendszerek

OpenSSL
OpenSSL Software Foundation

Érintett verziók

OpenSSL Software Foundation OpenSSL 0.9.8h - 0.9.8n, 1.0.0

Összefoglaló

Az OpenSSL két olyan sérülékenységét jelentették, melyeket a támadók kihasználhatnak a könyvtárat használó alkalmazás feltörésére vagy spoofing (megtévesztésen alapuló) támadásokra.

Leírás

Az OpenSSL két olyan sérülékenységét jelentették, melyeket a támadók kihasználhatnak a könyvtárat használó alkalmazás feltörésére vagy spoofing (megtévesztésen alapuló) támadásokra.

  1. A CMS (Cryptographic Message Syntax) struktúrák kezelési hibája tetszőleges kód futtatására használható ki.

    A sebezhetőség a 0.9.8g utáni és 0.9.8o előtti, valamint az 1.0.0. verziókat érinti.

  2. Hibaüzenet helyett egy kezdeti értékkel nem rendelkező puffer a visszatérési érték, ha a ellenőrzés helyreállítási folyamat sikertelen. Ez kihasználható a “EVP_PKEY_verify_recover()” eljárást használó alkalmazásokban a kulcs hitelesítés átlépésére.

    A sebezhetőség az 1.0.0. verziót érinti.

Megoldás

Frissítsen a legújabb verzióra