OpenSSL TLS csomagfeldolgozás szolgáltatás megtagadás


2012. május 11. 09:23

CH azonosító

CH-6836

Angol cím

OpenSSL TLS Packet Parsing Integer Underflow Denial of Service Vulnerability

Felfedezés dátuma

2012.05.10.

Súlyosság

Közepes

Érintett rendszerek

OpenSSL
OpenSSL Software Foundation

Érintett verziók

OpenSSL 0.x, 1.x

Összefoglaló

Az OpenSSL sérülékenysége vált ismertté, amelyet kihasználva a támadók a könyvtárat használó alkalmazás szolgáltatás megtagadását (DoS – Denial of Service) okozhatják.

Leírás

A sérülékenységet a CBC titkosítási módot használó Datagram Transport Layer Security (DTLS) csomagok TLS rekordhosszának feldolgozása közben jelentkező egész szám alulcsordulási hiba okozza.

A sérülékenység az 1.0.1c, 1.0.0j, és 0.9.8x előtti verziókat érinti.

Megoldás

Frissítsen a legújabb verzióra

Támadás típusa

Input manipulation (Bemenet módosítás)

Hatás

Loss of availability (Elérhetőség elvesztése)

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

Gyártói referencia: www.openssl.org
Egyéb referencia: www.cert.fi
CVE-2012-2333 - NVD CVE-2012-2333
SECUNIA 49116