Érintett rendszerek
OpenSSLOpenSSL Software Foundation
Érintett verziók
OpenSSL Software Foundation OpenSSL 0.9.6 - 0.9.6.k, 0.9.7a - 0.9.7c
Összefoglaló
Az OpenSSL SSL/TSL könyvtár több sérülékenységét kihasználva távoli támadók szolgáltatás megtagadásos támadást hajthatnak végre.
Leírás
Az OpenSSL SSL/TSL könyvtár több sérülékenységét kihasználva távoli támadók szolgáltatás megtagadásos támadást hajthatnak végre.
-
Az OpenSSL do_change_cipher_spec() függvényének egy null mutató kiosztása kihasználható egy sebezhető OpenSSL könyvtárat használó programnak küldött, különlegesen kialakított SSL/TLS kézfogással az OpenSSL összeomlasztására.
Az alábbi verziók érintettek:
0.9.6c – 0.9.6k, 0.9.7a – 0.9.7c -
Az OpenSSL SSL/TLS kézfogásokat kezelő kódjában, Kerberos titkosítás használatakor föllépő sebezhetőség kihasználható egy Kerberos titkosítást használó szervernek küldött, különlegesen kialakított SSL/TLS kézfogással az OpenSSL összeomlasztására.
Az alábbi verziók érintettek:
0.9.7a – 0.9.7c -
Az OpenSSL nem kezeli megfelelően az ismeretlen SSL/TLS üzenet típusokat. Ezt kihasználva szolgáltatás megtagadás okozható az OpenSSL-t használó alkalmazás végtelen ciklusba juttatásával.
Az alábbi verziók érintettek:
0.9.6 – 0.9.6c
Megoldás
Frissítsen a legújabb verzióraTámadás típusa
Deny of service (Szolgáltatás megtagadás)Input manipulation (Bemenet módosítás)
Hatás
Loss of availability (Elérhetőség elvesztése)Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
US-CERT 484726
US-CERT 465542
CAN-2004-0079 - NVD CAN-2004-0079
US-CERT 288574
Egyéb referencia: www.us-cert.gov
CAN-2004-0081 - NVD CAN-2004-0081
Gyártói referencia: www.openssl.org
CAN-2004-0112 - NVD CAN-2004-0112