Security Lab

Удаленный отказ в обслуживании против OpenSSL

Дата публикации:18.03.2004
Всего просмотров:1417
Опасность:
Низкая
Наличие исправления:
Количество уязвимостей:1
CVE ID: Нет данных
Вектор эксплуатации:
Воздействие:
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты:
Уязвимые версии: OpenSSL 0.9.6c - 0.9.6k и 0.9.7a - 0.9.7c

Описание: Несколько уязвимостей обнаружено в OpenSSL. Удаленный пользователь может аварийно завершить работу OpenSSL.

1. CAN-2004-0079
Уязвимость пустого указателя обнаружена в do_change_cipher_spec() функции. Удаленный пользователь может выполнить специально обработанное SSL/TLS handshake с целевым сервером, чтобы аварийно завершить работу OpenSSL на целевой системе.

2. CAN-2004-0112
Уязвимость обнаружена в SSL/TLS handshakes, использующего Kerberos ciphersuites. Удаленный пользователь может выполнить специально обработанный SSL/TLS handshake против сервера, чтобы аварийно завершить работу OpenSSL.

3. CAN-2004-0081
Удаленный пользователь может заставить OpenSLL войти в бесконечный цикл из-за неправильного патча в 0.9.6d.

URL производителя: http://www.openssl.org/news/secadv_20040317.txt

Решение:Установите обновленную версию программы (0.9.7d или 0.9.6m),:

ftp://ftp.openssl.org/source/


openssl-0.9.7d.tar.gz
MD5 checksum: 1b49e90fc8a75c3a507c0a624529aca5

openssl-0.9.6m.tar.gz [normal]
MD5 checksum: 1b63bfdca1c37837dddde9f1623498f9

openssl-engine-0.9.6m.tar.gz [engine]
MD5 checksum: 4c39d2524bd466180f9077f8efddac8c

The checksums were calculated using the following command:

openssl md5 openssl-0.9*.tar.gz
Ссылки: OpenSSL Security Advisory [17 March 2004]