OpenSSL sérülékenység

CH azonosító

CH-14281

Angol cím

OpenSSL bn_sqrx8x_internal() Carry Bug Lets Remote Users Obtain Potentially Sensitive Information on the Target System in Certain Cases

Felfedezés dátuma

2017.11.07.

Súlyosság

Közepes

Érintett rendszerek

OpenSSL
OpenSSL Software Foundation

Érintett verziók

OpenSSL 1.1.0, 1.0.2

Összefoglaló

Az OpenSSL közepes kockázati besorolású sérülékenysége vált ismertté, melyet kihasználva a támadó bizalmas információkhoz juthat a szerveren. A sérülékenységet kiküszöbölő megoldás már beszerezhető a gyártótól.

Leírás

A x86_64 Montgomery négyzetelő eljárást használó bn_sqrx8x_internal() függvény sérülékenységét kihasználva a támadó jelzőbit átviteli hibát (carry propagation flaw) okozhat, ezáltal megfelelő körülmények között hozzáférhet a privát kulcshoz.

Azok a processzorok érintettek, amelyek támogatják a BMI1, BMI2, és ADX kiterjesztéseket (például Intel Broadwell 5th generációs és feletti, vagy AMD Ryzen).

Megoldás

Frissítsen a legújabb verzióra

Megoldás

Frissítsen a 1.1.0g vagy 1.0.2m verzióra.


Legfrissebb sérülékenységek
CVE-2024-53104 – Linux Kernel sérülékenysége
CVE-2010-3765 – Mozilla Multiple Products RCE sérülékenysége
CVE-2013-3918 – Microsoft Windows Out-of-Bounds Write sérülékenysége
CVE-2025-27915 – Synacor Zimbra Collaboration Suite (ZCS) Cross-site Scripting sérülékenysége
CVE-2010-3962 – Microsoft Internet Explorer Uninitialized Memory Corruption sérülékenysége
CVE-2021-22555 – Linux Kernel Heap Out-of-Bounds Write sérülékenysége
CVE-2025-4008 – Smartbedded Meteobridge Command Injection sérülékenysége
CVE-2015-7755 – Juniper ScreenOS Improper Authentication sérülékenysége
CVE-2017-1000353 – Jenkins RCE sérülékenysége
CVE-2014-6278 – GNU Bash OS Command Injection sérülékenysége
Tovább a sérülékenységekhez »