Security Lab

Отказ в обслуживании в OpenSSL

Дата публикации:06.09.2011
Всего просмотров:1064
Опасность:
Низкая
Наличие исправления: Да
Количество уязвимостей:2
CVSSv2 рейтинг: 5 (AV:N/AC:L/Au:N/C:N/I:P/A:N/E:U/RL:O/RC:C)
7.1 (AV:N/AC:M/Au:N/C:N/I:N/A:C/E:U/RL:O/RC:C)
CVE ID: CVE-2011-3207
CVE-2011-3210
Вектор эксплуатации: Удаленная
Воздействие: Неавторизованное изменение данных
Обход ограничений безопасности
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты: OpenSSL 1.x
Уязвимые версии:OpenSSL версий 1.0.0 - 1.0.0d

Описание:
Уязвимость позволяет удаленному пользователю скомпрометировать целевую систему.

1. Уязвимость существует из-за ошибки при внутренней проверке сертификата OpenSSL. OpenSSL может принять (Certificate Revocation Lists) с прошедшей датой в поле nextUpdate. 2. Уязвимость существует из-за ошибки в реализации эфемерных наборов шифров ECDH. Удаленный пользователь может с помощью специально сформированной цепочки сообщений авторизации вызвать аварийное прекращение работы системы.

Примечание: Для успешной эксплуатации № 2 уязвимости наборы шифрования ECDH должны быть включены и поддерживаться.

URL производителя: http://www.openssl.org/

Решение: Для устранения уязвимости установите продукт версии 1.0.0e с сайта производителя.

Ссылки: http://www.openssl.org/news/secadv_20110906.txt