• Все разделы
  • Статьи
  • Медиа
  • Новости
  • Нормативные материалы
  • Конференции
  • Глоссарий

Отказ в обслуживании

Карточка уязвимости

Характеристики уязвимости

Уровень опасности
Оценка CVSS
(AV:N/AC:L/Au:N/C:P/I:P/A:P)
Производитель ПО
Наименование ПО
OpenSSL (0.9.8, 0.9.8za, 1.0.0, 1.0.0m, 1.0.1, 1.0.1h)
Описание
Уязвимость существует в функции dtls1_clear_queues в ssl/d1_lib.c в OpenSSL из-за освобождения структур памяти, осуществляемого без учета того, что данные приложения могут быть получены между сообщением ChangeCipherSpec и сообщением Finished. Эксплуатация данной уязвимости позволяет злоумышленникам через удаленные DTLS узлы вызвать отказ в обслуживании (ошибку при работе с памятью и аварийное завершение работы приложения) или оказать иное воздействие на систему, используя непредусмотренные данные приложения.
Как исправить
Для устранения уязвимости необходимо установить последнюю версию продукта, соответствующую используемой платформе. Необходимую информацию можно получить по адресу:
https://www.openssl.org/
Ссылки
http://openssl.org/news/secadv_20150611.txt

Источник: CVE
Наименование: CVE-2014-8176
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-8176