CH azonosító
CH-6524Angol cím
OpenSSL CMS / PKCS #7 Decryption and NULL Pointer Dereference VulnerabilitiesFelfedezés dátuma
2012.03.11.Súlyosság
AlacsonyÖsszefoglaló
Az OpenSSL olyan sérülékenységei vált ismertté, amelyeket kihasználva a támadók megkerülhetnek bizonyos biztonsági szabályokat és szolgáltatás megtagadást (DoS – Denial of Service) idézhetnek elő a könyvtárat használó alkalmazásban.
Leírás
- A sérülékenységet a CMS és PKC #7 visszafejtő kódban lévő hiba okozza, ami kihasználható a CMS, PKCS #7 vagy S/MIME dekódoló műveletekkel szembeni “Million Message Attack” nevű támadással.
A sérülékenység sikeres kihasználása átlagosan 220 üzenet küldését igényli, így ez gyakorlatilag csak az automatizált rendszereket érinti. - A “mime_param_cmp()” függvényben (crypto/asn1/asn_mime.c) bizonyos MIME fejlécek feldolgozása során NULL mutató hivatkozás feloldási hiba léphet fel, amelyet kihasználva rendszerösszeomlás idézhető elő.
Megoldás
Frissítsen a legújabb verzióraTámadás típusa
Security bypass (Biztonsági szabályok megkerülése)Hatás
Loss of availability (Elérhetőség elvesztése)Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: www.openssl.org
Gyártói referencia: cvs.openssl.org
CVE-2012-0884 - NVD CVE-2012-0884
CVE-2012-1165 - NVD CVE-2012-1165
SECUNIA 46958