Oracle SPARC Enterprise M Series OpenSSL sérülékenységek

CH azonosító

CH-7645

Angol cím

Oracle SPARC Enterprise M Series OpenSSL Multiple Vulnerabilities

Felfedezés dátuma

2012.09.25.

Súlyosság

Közepes

Érintett rendszerek

Oracle
Sun SPARC Enterprise Server M Series

Érintett verziók

Sun SPARC Enterprise Server M Series

Összefoglaló

Az Oracle SPARC Enterprise M Series-ben lévő OpenSSL több ismeretlen hatású illetve olyan sérülékenységét jelentették, amelyeket kihasználva a támadók hamisításos támadást indíthatnak, megkerülhetnek egyes biztonsági intézkedéseket vagy szolgáltatás megtagadást (DoS – Denial of Service) idézhetnek elő.

Leírás

  1. Egyes OpenSSL függvények nem tudják megfelelően ellenőrizni az “EVP_VerifyFinal()” függvény visszatérési értékét, amikor a DSA és ECDSA kulcsokat szignatúráját hitelesítik. Ezt kihasználva meg lehet kerülni a szignatúra ellenőrzést, speciálisan összeállított tanúsítvány lánc szignatúra küldésével a kliensnek. A sérülékenység kihasználásának feltétele, hogy a szerver DSA vagy ECDSA kulcsot használó tanúsítványt használjon.
  2. A “BMPString” vagy “UniversalString” string-ek kiírása közben az “ASN1_STRING_print_ex()” függvényben jelentkező hibát kihasználva érvénytelen memória területhez lehet hozzáférni, így szolgáltatás megtagadást (DoS – Denial of Service) lehet előidézni egy hibásan kódolt string hosszúsággal, amikor például a tanúsítvány tartalmát nyomtatják ki.

A további sérülékenységekről az alábbi hivatkozásokon található bővebb információ:
CERT-Hungary CH-2626 2. pont
CERT-Hungary CH-4010

Megoldás

Telepítse a javítócsomagokat

Legfrissebb sérülékenységek
CVE-2022-3683 – Hitachi Energy’s MicroSCADA System Data Manager SDM600 sérülékenysége
CVE-2022-3682 – Hitachi Energy’s MicroSCADA System Data Manager SDM600 sérülékenysége
CVE-2023-28303 – Windows képmetsző sérülékenysége
CVE-2023-1289 – ImageMagick sérülékenysége
CVE-2023-1050 – Koc Energy Web Report System sérülékenysége
CVE-2022-22512 – VARTA Storage Web-UI sérülékenysége
CVE-2023-25859 – Adobe Illustrator sérülékenysége
CVE-2023-25860 – Adobe Illustrator sérülékenysége
CVE-2023-25861 – Adobe Illustrator sérülékenysége
CVE-2023-26358 – Adobe Creative Cloud sérülékenysége
Tovább a sérülékenységekhez »