OpenSSL sérülékenységek

CH azonosító

CH-6524

Angol cím

OpenSSL CMS / PKCS #7 Decryption and NULL Pointer Dereference Vulnerabilities

Felfedezés dátuma

2012.03.11.

Súlyosság

Alacsony

Érintett rendszerek

OpenSSL
OpenSSL Software Foundation

Érintett verziók

OpenSSL 0.x, 1.x

Összefoglaló

Az OpenSSL olyan sérülékenységei vált ismertté, amelyeket kihasználva a támadók megkerülhetnek bizonyos biztonsági szabályokat és szolgáltatás megtagadást (DoS – Denial of Service) idézhetnek elő a könyvtárat használó alkalmazásban.

Leírás

  1. A sérülékenységet a CMS és PKC #7 visszafejtő kódban lévő hiba okozza, ami kihasználható a CMS, PKCS #7 vagy S/MIME dekódoló műveletekkel szembeni “Million Message Attack” nevű támadással.
    A sérülékenység sikeres kihasználása átlagosan 220 üzenet küldését igényli, így ez gyakorlatilag csak az automatizált rendszereket érinti.
  2. A “mime_param_cmp()” függvényben (crypto/asn1/asn_mime.c) bizonyos MIME fejlécek feldolgozása során NULL mutató hivatkozás feloldási hiba léphet fel, amelyet kihasználva rendszerösszeomlás idézhető elő.

Megoldás

Frissítsen a legújabb verzióra