Поделиться
В OpenSS обнаружены уязвимости
Эксперты по информационной безопасности обнаружили множественные уязвимости в OpenSS, которые позволяют удаленному пользователю вызвать отказ в обслуживании приложения. OpenSSL - открытый инструмент, разработанный как универсальная библиотека для криптографии, использующая протоколы Secure Sockets Layer (SSL v2/v3) и Transport Layer Security (TLS v1).Уязвимость существует из-за ошибки при обработке некорректных ASN.1 структур. Удаленный пользователь может вызвать зацикливание приложения, использующего OpenSSL для обработки ASN.1 данных. Версии до 0.9.7 не уязвимы.
Некоторые публичные ключи требуют много времени для их обработки и могут быть использованы для DoS атаки на приложение, использующее OpenSSL для обработки ASN.1 данных.
Переполнение буфера обнаружено в функции "SSL_get_shared_ciphers()". Злоумышленник может послать список шифров приложению, использующему уязвимую функцию, и выполнить произвольный код на целевой системе.
Уязвимость существует из-за ошибки в клиентском коде SSLv2. Злоумышленник может использовать уязвимый клиент для создания SSLv2 соединения к серверу.
«Дырам» присвоен рейтинг опасности «высокая». Уязвим OpenSSL 0.9.x. Для использования уязвимостей нет эксплойта. Для решения проблемы установите последнюю версию (0.9.7l или 0.9.8d и выше) с сайта производителя, сообщил Securitylab.
Короткая ссылка
