Множественные уязвимости в yaSSL

Дата публикации:
14.01.2008
Дата изменения:
21.01.2008
Всего просмотров:
1176
Опасность:
Высокая
Наличие исправления:
Нет
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
CVE-2008-0226
CVE-2008-0227
Вектор эксплуатации:
Удаленная
Воздействие:
Отказ в обслуживании
Компрометация системы
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
yaSSL Library 1.x
Уязвимые версии: yaSSL Library 1.7.5, возможно более ранние версии

Описание:
Обнаруженные уязвимости позволяют удаленному пользователю вызвать отказ в обслуживании и скомпрометировать целевую систему.

1. Уязвимость существует из-за ошибки проверки границ данных в методе "ProcessOldClientHello()" в файле src/handshake.cpp. Удаленный пользователь может с помощью специально сформированного SSLv2 "Hello" пакета вызвать переполнение стека и выполнить произвольный код на целевой системе.

2. Уязвимость существует из-за ошибки проверки границ данных в реализации входного оператора для SSL "Hello" пакетов в файле src/yassl_imp.cpp. Удаленный пользователь может с помощью специально сформированного SSLv3 "Hello" пакета вызвать переполнение стека и выполнить произвольный код на целевой системе.

3. Уязвимость существует из-за ошибки проверки границ данных в методе HASHwithTransform::Update()" в файле taocrypt/src/hash.cpp. Удаленный пользователь может с помощью специально сформированного SSL "Hello" пакета вызвать отказ в обслуживании приложения.

URL производителя: www.yassl.com

Решение: Способов устранения уязвимости не существует в настоящее время.

Ссылки: yaSSL Library Remote DoS Exploit

или введите имя

CAPTCHA