Отказ в обслуживании в OpenSSL

Дата публикации:
06.09.2011
Всего просмотров:
694
Опасность:
Низкая
Наличие исправления:
Да
Количество уязвимостей:
2
CVSSv2 рейтинг:
(AV:N/AC:L/Au:N/C:N/I:P/A:N/E:U/RL:O/RC:C) = Base:5/Temporal:3.7
(AV:N/AC:M/Au:N/C:N/I:N/A:C/E:U/RL:O/RC:C) = Base:7.1/Temporal:5.3
CVE ID:
CVE-2011-3207
CVE-2011-3210
Вектор эксплуатации:
Удаленная
Воздействие:
Неавторизованное изменение данных
Обход ограничений безопасности
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
OpenSSL 1.x
Уязвимые версии:OpenSSL версий 1.0.0 - 1.0.0d

Описание:
Уязвимость позволяет удаленному пользователю скомпрометировать целевую систему.

1. Уязвимость существует из-за ошибки при внутренней проверке сертификата OpenSSL. OpenSSL может принять (Certificate Revocation Lists) с прошедшей датой в поле nextUpdate. 2. Уязвимость существует из-за ошибки в реализации эфемерных наборов шифров ECDH. Удаленный пользователь может с помощью специально сформированной цепочки сообщений авторизации вызвать аварийное прекращение работы системы.

Примечание: Для успешной эксплуатации № 2 уязвимости наборы шифрования ECDH должны быть включены и поддерживаться.

URL производителя: http://www.openssl.org/

Решение: Для устранения уязвимости установите продукт версии 1.0.0e с сайта производителя.

Ссылки: http://www.openssl.org/news/secadv_20110906.txt

или введите имя

CAPTCHA