OpenSSL két sérülékenysége

CH azonosító

CH-2626

Angol cím

OpenSSL Two Vulnerabilities

Felfedezés dátuma

2009.11.05.

Súlyosság

Alacsony

Érintett rendszerek

OpenSSL
OpenSSL Software Foundation

Érintett verziók

OpenSSL 0.x

Összefoglaló

Az OpenSSL két olyan sérülékenységét jelentették, melyek közül az egyiknek ismeretlen a hatása, míg a másikat a támadók kihasználhatják bizonyos adatok megváltoztatására.

Leírás

  1. A sérülékenységet a TLS protokoll hibája okozza, ami a munkafolyamatok újra egyeztetésekor lép fel. Ez kihasználható Man-in-the-Middle (MitM) támadásokkal tetszőleges kódolatlan szöveg beszúrására, mielőtt a valódi kliens elküldené az adatokat a már meglévő TLS munkafolyamatban.
    A sikeres kiaknázás például tetszőleges HTTP kérés elküldését teszi lehetővé, a hitelesítéssel kapcsolatosan, ha a szerver tanúsítvány alapú hitelesítést használ.
  2. A sérülékenységet az okozza, hogy a könyvtár nem megfelelően ellenőrzi a “bn_wexpand()” függvény visszaadott értékét.

Megoldás

Frissítsen a legújabb verzióra

Hivatkozások

Gyártói referencia: openssl.org
Gyártói referencia: archive.netbsd.se
Gyártói referencia: rt.openssl.org
Egyéb referencia: www.ietf.org
Egyéb referencia: extendedsubset.com
SECUNIA 37291
CVE-2009-3245 - NVD CVE-2009-3245
CVE-2009-3555 - NVD CVE-2009-3555