Карточка уязвимости
Характеристики уязвимости
Уровень опасности
Оценка CVSS
(AV:N/AC:L/Au:N/C:P/I:P/A:P)
Производитель ПО
Наименование ПО
OpenSSL
(0.9.8, 0.9.8za, 1.0.0, 1.0.0m, 1.0.1, 1.0.1h)
Описание
Уязвимость существует в функции dtls1_clear_queues в ssl/d1_lib.c в OpenSSL из-за освобождения структур памяти, осуществляемого без учета того, что данные приложения могут быть получены между сообщением ChangeCipherSpec и сообщением Finished. Эксплуатация данной уязвимости позволяет злоумышленникам через удаленные DTLS узлы вызвать отказ в обслуживании (ошибку при работе с памятью и аварийное завершение работы приложения) или оказать иное воздействие на систему, используя непредусмотренные данные приложения.
Как исправить
Для устранения уязвимости необходимо установить последнюю версию продукта, соответствующую используемой платформе. Необходимую информацию можно получить по адресу:
https://www.openssl.org/
https://www.openssl.org/
Ссылки
http://openssl.org/news/secadv_20150611.txt
Источник: CVE
Наименование: CVE-2014-8176
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-8176
Источник: CVE
Наименование: CVE-2014-8176
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-8176