Расширенный
База уязвимостей

Разыменование нулевого указателя

4 апреля 2021
Уровень опасности
Оценка CVSS
(AV:N/AC:M/Au:N/C:N/I:N/A:P)
Производитель ПО
Наименование ПО
OpenSSL (1.1.1, 1.1.1k)
Описание
Уязвимость позволяет злоумышленникам вызвать аварийное завершение работы TLS-сервера OpenSSL, отправив серверу специально сформированное сообщение повторного согласования ClientHello. Если при повторном согласовании отсутствует расширение signature_algorithms (которое было в первоначальном ClientHello), но присутствует расширение signature_algorithms_cert, то произойдет разыменование нулевого указателя, которое приведет к аварийному завершению работы и отказу в обслуживании. Сервер является уязвимым, только если использует TLSv1.2 и функцию повторного согласования (которая включена по умолчанию). Уязвимость отсутствует в TLS-клиентах OpenSSL.
Как исправить
Для устранения уязвимости необходимо установить последнюю версию продукта, соответствующую используемой платформе. Необходимую информацию можно получить по адресу:
https://www.openssl.org/
Ссылки