Некорректная обработка SSL/TLS запросов в OpenSSL

01.10.2003 | 15:25
Mark J. Cox из команды разработчиков проекта OpenSSL сообщает о наличии уязвимости в ПО OpenSSL. Уязвимость связана с некорректной обработкой специальным образом сформированных SSL/TLS запросов, закодированных по ASN.1.

Подпрограмма, разбивающая соответствующие запросы из-за выхода за границы выделяемой памяти может вызвать повреждения стека с последующей его перезаписью. Таким образом может быть вызван типичный отказ в обслуживании службы, работающий с SSL с использованием реализации OpenSSL.

Сам автор замечает, что уязвимость не присутствует в версиях OpenSSL 0.9.6 и не обнаружена возможность выполнения произвольного кода в системе. Кроме этой уязвимости обнаружены ещё три сопутствующие уязвимости - одна из них связана с обработкой тэга ASN.1, вторая - с обработкой некорректного публичного ключа, третья - представляет собой суммарную уязвимость, связанную с обработкой пользовательских сертификатов.

Выпущены версии OpenSSL 0.9.7c и 0.9.6k. Рекомендуется обновить всё статически собранное ПО.
безопасность, информация, защита информации, статьи, библиотека, аудит, администрирование, реагирование на инциденты, криптография, уязвимость
По материалам http://uinc.ru
Лента новостей: FacebookLiveJournalЯндекс

Комментарии (0)
Оставьте комментарий:CaptchaОбновить проверочный код