Карточка уязвимости
Характеристики уязвимости
Уровень опасности
Оценка CVSS
(AV:N/AC:L/Au:N/C:N/I:N/A:P)
Производитель ПО
Наименование ПО
OpenSSL
(0.9.6, 0.9.6l, 0.9.7, 0.9.7c)
Описание
В OpenSSL на платформе Windows существует уязвимость, которая может быть использована, чтобы вызвать аварийное завершение работы OpenSSL, и повлечет за собой отказ в обслуживании. Эта уязвимость возникает из-за способа обработки ASN.1-тэги в OpenSSL. Злоумышленник, действующий удаленно, может отправить специально сформированный сертификат, чтобы OpenSSL использовал рекурсию большой вложенности.
Как исправить
Для устранения уязвимости необходимо установить последнюю версию продукта, соответствующую используемой платформе. Необходимую информацию можно получить по адресу:
http://www.openssl.org/
http://www.openssl.org/
Ссылки
Bugtraq ([OpenSSL Advisory] Denial of Service in ASN.1 parsing): http://marc.theaimsgroup.com/?l=bugtraq&m=106796246511667&w=2
OpenSSL.org (Denial of Service in ASN.1 parsing): http://www.openssl.org/news/secadv_20031104.txt
CERT (OpenSSL 0.9.6k does not properly handle ASN.1 sequences): http://www.kb.cert.org/vuls/id/412478
Security Focus (bid 8970): http://www.securityfocus.com/bid/8970
CISCO (20030930 SSL Implementation Vulnerabilities): http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20030930-ssl
NETBSD (NetBSD-SA2004-003): ftp://ftp.netbsd.org/pub/NetBSD/security/advisories/NetBSD-SA2004-003.txt.asc
REDHAT (RHSA-2004:119): http://rhn.redhat.com/errata/RHSA-2004-119.html
SGI (20040304-01-U): ftp://patches.sgi.com/support/free/security/advisories/20040304-01-U.asc
FEDORA (FEDORA-2005-1042): http://www.redhat.com/archives/fedora-announce-list/2005-October/msg00087.html
BUGTRAQ (20040508 [FLSA-2004:1395] Updated OpenSSL resolves security vulnerability): http://marc.theaimsgroup.com/?l=bugtraq&m=108403850228012&w=2
OpenSSL.org (Denial of Service in ASN.1 parsing): http://www.openssl.org/news/secadv_20031104.txt
CERT (OpenSSL 0.9.6k does not properly handle ASN.1 sequences): http://www.kb.cert.org/vuls/id/412478
Security Focus (bid 8970): http://www.securityfocus.com/bid/8970
CISCO (20030930 SSL Implementation Vulnerabilities): http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20030930-ssl
NETBSD (NetBSD-SA2004-003): ftp://ftp.netbsd.org/pub/NetBSD/security/advisories/NetBSD-SA2004-003.txt.asc
REDHAT (RHSA-2004:119): http://rhn.redhat.com/errata/RHSA-2004-119.html
SGI (20040304-01-U): ftp://patches.sgi.com/support/free/security/advisories/20040304-01-U.asc
FEDORA (FEDORA-2005-1042): http://www.redhat.com/archives/fedora-announce-list/2005-October/msg00087.html
BUGTRAQ (20040508 [FLSA-2004:1395] Updated OpenSSL resolves security vulnerability): http://marc.theaimsgroup.com/?l=bugtraq&m=108403850228012&w=2