OpenSSL “ssl3_get_key_exchange()” függvény sérülékenysége


2010. augusztus 10. 07:40

CH azonosító

CH-3447

Felfedezés dátuma

2010.08.09.

Súlyosság

Közepes

Érintett rendszerek

OpenSSL
OpenSSL Software Foundation

Érintett verziók

OpenSSL 1.x

Összefoglaló

Az OpenSSL egy olyan sérülékenységét fedezték fel, amelyet a támadók kihasználhatnak szolgáltatás megtagadás (DoS – Denial of Service) okozására és a könyvtárat használó alkalmazás feltörésére.

Leírás

Az ssl/s3_clnt.c  “ssl3_get_key_exchange()” függvény felszabadítás utáni használatból (use-after-free) eredő hibája kihasználható a megtévesztett felhasználó rosszindulatú szerverhez való csatlakoztatására.

A sérülékenységet az 1.0.0a verzióban igazolták. Más verziók is érintettek lehetnek.

Megoldás

Csak megbízható szerverhez csatlakozzon.

Támadás típusa

Hijacking (Visszaélés)

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

Egyéb referencia: archives.neohapsis.com
SECUNIA 40906

Legfrissebb sérülékenységek
CVE-2024-53104 – Linux Kernel sérülékenysége
CVE-2025-62199 – Microsoft Office Remote Code Execution sérülékenysége
CVE-2025-59504 – Azure Monitor Agent Remote Code Execution sérülékenysége
CVE-2025-12480 – Gladinet Triofox Improper Access Control sérülékenysége
CVE-2025-62215 – Windows Kernel Elevation of Privilege sérülékenysége
CVE-2025-12058 – Keras sérülékenysége
CVE-2025-64459 – Django SQL injection sérülékenység
CVE-2025-64458 – Django szolgáltatás megtagadás sérülékenység
CVE-2025-20354 – Cisco Unified Contact Center Express sérülékenysége
CVE-2025-20358 – Cisco Unified Contact Center Express sérülékenysége
Tovább a sérülékenységekhez »