Отказ в обслуживании

Высокая (7.5)

(AV:N/AC:L/Au:N/C:P/I:P/A:P)

OpenSSL Project

OpenSSL (0.9.7, 0.9.7c)

Ошибка распределения памяти «двойное освобождение» позволяет злоумышленникам, действующим удаленно, вызвать отказ в обслуживании (аварийное завершение) и, возможно, выполнить произвольный код, используя клиентский SSL-сертификат со специально сформированной некорректной ASN.1-кодировкой.

Для устранения уязвимости необходимо установить последнюю версию продукта, соответствующую используемой платформе. Необходимую информацию можно получить по адресу:
http://www.openssl.org/

Red Hat (RHSA-2003:292): http://www.redhat.com/support/errata/RHSA-2003-292.html
Uniras (Vulnerability Issues in OpenSSL): http://www.uniras.gov.uk/vuls/2003/006489/openssl.htm
DEBIAN (DSA-394): http://www.debian.org/security/2003/dsa-394
OVAL (OVAL2590): http://oval.mitre.org/oval/definitions/data/oval2590.html
CERT (CA-2003-26): http://www.cert.org/advisories/CA-2003-26.html
CERT-VN (VU#935264): http://www.kb.cert.org/vuls/id/935264
http://www-1.ibm.com/support/docview.wss?uid=swg21247112
FRSIRT (ADV-2006-3900): http://www.frsirt.com/english/advisories/2006/3900
OVAL (oval:org.mitre.oval:def:2590): http://oval.mitre.org/repository/data/getDef?id=oval:org.mitre.oval:def:2590
BID (8732): http://www.securityfocus.com/bid/8732