• Все разделы
  • Статьи
  • Медиа
  • Новости
  • Нормативные материалы
  • Конференции
  • Глоссарий

Переполнение буфера

Карточка уязвимости

Характеристики уязвимости

Уровень опасности
Оценка CVSS
Производитель ПО
Наименование ПО
OpenSSL (3.0.0, 3.0.7)
Описание
Переполнение буфера может быть спровоцировано при проверке сертификатов X.509, в частности, при проверке ограничений на имена. Обратите внимание, что это происходит после проверки подписи цепочки сертификатов и требует либо того, чтобы ЦС подписал вредоносный сертификат, либо того, чтобы приложение продолжило проверку сертификата, несмотря на невозможность построить путь к доверенному эмитенту. Злоумышленник может использовать вредоносный адрес электронной почты в сертификате для переполнения стека произвольным количеством байт, содержащих символ `.' (десятичное число 46). Такое переполнение буфера может привести к аварийному завершению работы (вызвать отказ в обслуживании). На TLS-клиенте это может быть вызвано подключением к вредоносному серверу. На TLS-сервере это может произойти, если сервер запросит аутентификацию клиента и к нему подключится вредоносный клиент.
Как исправить
Для устранения уязвимости необходимо установить последнюю версию продукта, соответствующую используемой платформе. Необходимую информацию можно получить по адресу:
https://www.openssl.org/
Ссылки