CH azonosító
CH-7645Angol cím
Oracle SPARC Enterprise M Series OpenSSL Multiple VulnerabilitiesFelfedezés dátuma
2012.09.25.Súlyosság
KözepesÉrintett rendszerek
OracleSun SPARC Enterprise Server M Series
Érintett verziók
Sun SPARC Enterprise Server M Series
Összefoglaló
Az Oracle SPARC Enterprise M Series-ben lévő OpenSSL több ismeretlen hatású illetve olyan sérülékenységét jelentették, amelyeket kihasználva a támadók hamisításos támadást indíthatnak, megkerülhetnek egyes biztonsági intézkedéseket vagy szolgáltatás megtagadást (DoS – Denial of Service) idézhetnek elő.
Leírás
- Egyes OpenSSL függvények nem tudják megfelelően ellenőrizni az “EVP_VerifyFinal()” függvény visszatérési értékét, amikor a DSA és ECDSA kulcsokat szignatúráját hitelesítik. Ezt kihasználva meg lehet kerülni a szignatúra ellenőrzést, speciálisan összeállított tanúsítvány lánc szignatúra küldésével a kliensnek. A sérülékenység kihasználásának feltétele, hogy a szerver DSA vagy ECDSA kulcsot használó tanúsítványt használjon.
- A “BMPString” vagy “UniversalString” string-ek kiírása közben az “ASN1_STRING_print_ex()” függvényben jelentkező hibát kihasználva érvénytelen memória területhez lehet hozzáférni, így szolgáltatás megtagadást (DoS – Denial of Service) lehet előidézni egy hibásan kódolt string hosszúsággal, amikor például a tanúsítvány tartalmát nyomtatják ki.
A további sérülékenységekről az alábbi hivatkozásokon található bővebb információ:
CERT-Hungary CH-2626 2. pont
CERT-Hungary CH-4010
Megoldás
Telepítse a javítócsomagokatTámadás típusa
Crypthographical (Titkosítás)Hijacking (Visszaélés)
Input manipulation (Bemenet módosítás)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: blogs.oracle.com
CVE-2008-5077 - NVD CVE-2008-5077
CVE-2008-7270 - NVD CVE-2008-7270
CVE-2009-0590 - NVD CVE-2009-0590
CVE-2009-3245 - NVD CVE-2009-3245
CVE-2010-4180 - NVD CVE-2010-4180
CERT-Hungary CH-2626
CERT-Hungary CH-4010
SECUNIA 50733