Дата публикации: | 23.01.2015 |
Всего просмотров: | 2433 |
Опасность: | Низкая |
Наличие исправления: | Да |
Количество уязвимостей: | 7 |
CVSSv2 рейтинг: | 7.1 (AV:N/AC:M/Au:N/C:N/I:N/A:C/E:U/RL:OF/RC:C) 7.8 (AV:N/AC:L/Au:N/C:N/I:N/A:C/E:U/RL:OF/RC:C) 5 (AV:N/AC:L/Au:N/C:N/I:N/A:P/E:U/RL:OF/RC:C) 5 (AV:N/AC:L/Au:N/C:N/I:P/A:N/E:U/RL:OF/RC:C) 5 (AV:N/AC:L/Au:N/C:N/I:P/A:N/E:U/RL:OF/RC:C) 4.3 (AV:N/AC:M/Au:N/C:N/I:P/A:N/E:U/RL:OF/RC:C) 5 (AV:N/AC:L/Au:N/C:N/I:P/A:N/E:U/RL:OF/RC:C) |
CVE ID: |
CVE-2014-3569 CVE-2014-3571 CVE-2014-3572 CVE-2014-8275 CVE-2015-0204 CVE-2015-0205 CVE-2015-0206 |
Вектор эксплуатации: | Удаленная |
Воздействие: |
Отказ в обслуживании Обход ограничений безопасности |
CWE ID: | Нет данных |
Наличие эксплоита: | Нет данных |
Уязвимые продукты: |
OpenSSL 0.x
OpenSSL 1.x |
Уязвимые версии: | OpenSSL 0.9.8
OpenSSL 1.0.0 OpenSSL 1.0.1 |
Описание: | Уязвимости позволяют удаленному пользователю обойти ограничения безопасности и осуществить DoS-атаку. 1) Уязвимость существует из-за ошибки в функции "ssl23_get_client_hello()" (ssl/s23_srvr.c). Удаленный пользователь может вызвать аварийное завершение работы. Примечание: Уязвимость вызвана неисправностью, возникшей после исправления уязвимости CVE-2014-3568. Детальная информация доступна по адресу http://www.securitylab.ru/vulnerability/460032.php. Примечание: Успешная эксплуатация уязвимости требует, чтобы библиотека была скомпилирована с опцией "no-ssl3". 2) Уязвимость существует из-за ошибки при обработке записей DTLS, связанных с функцией "dtls1_get_record()" (ssl/d1_pkt.c). Удаленный пользователь может вызвать ошибку сегментации, что приводит к аварийному завершению работы. 3) Уязвимость существует из-за ошибки при обработке записей DLTS, связанных с функцией "dtls1_buffer_record()". Удаленный пользователь может осуществить DoS-атаку. 4) Уязвимость существует из-за ошибки при обработке хендшейков с использованием эфемерального шифра ECDH. Удаленный пользователь может обойти ограничения безопасности. 5) Уязвимость существует из-за ошибки, связанной с неэкспортируемым шифром обмена ключами RSA. Удаленный пользователь может обойти ограничения безопасности. 6) Уязвимость существует из-за ошибки при обработке верификации клиентского сертификата DH, связанной с клиентской аутентификацией без сообщения верификации сертификата. Удаленный пользователь может обойти ограничения безопасности. Примечание: Успешная эксплуатация уязвимости требует, чтобы сервер имел в списке доверенных центров сертификации ЦС, который выдает сертификаты, содержащие DH-ключи. 7) Уязвимость существует из-за ошибки, связанной с алгоритмом подписи сертификатов и шифровке подписей. Удаленный пользователь может обойти ограничения безопасности. |
Решение: | Установите исправление с сайта производителя. |
Ссылки: | http://www.openssl.org/news/secadv_20150108.txt |