Haavoittuvuuksia OpenSSL-kirjastossa

OpenSSL on yleisesti käytössä oleva avoimen lähdekoodin SSL-, TLS- ja DTLS-protokollatoteutus sekä salauskirjasto. OpenSSL:ää käytetään esimerkiksi www-palvelinten https-toteutuksissa, sekä sähköpostipalveluiden viestiliikenteen salaamisessa asiakaskoneen ja palvelimen välillä.

OpenSSL-kirjaston päivitys korjaa kuusi haavoittuvuutta. Haavoittuvuuksista kaksi on arvioitu vaikutuksiltaan korkeiksi (High).

Haavoittuvuus CVE-2016-2108 voi johtaa hyödynnettävissä olevaan muistivirheeseen.

Haavoittuvuus CVE-2016-2107 voi mahdollistaa liikenteen salauksen purkamisen välimieshyökkäysmenetelmän avulla. Tähän haavoittuvuuteen on myös julkaistu hyväksikäyttömenetelmä.

Muut haavoittuvuudet on arvioitu vaikutuksiltaan mataliksi (Low).

  • Palvelimet ja palvelinsovellukset
  • Työasemat ja loppukäyttäjäsovellukset
  • Verkon aktiivilaitteet
  • Matkaviestinjärjestelmät
  • Sulautetut järjestelmät
  • Muut

Kohde

  • Palvelimet ja palvelinsovellukset
  • Työasemat ja loppukäyttäjäsovellukset
  • Verkon aktiivilaitteet
  • Matkaviestinjärjestelmät
  • Sulautetut järjestelmät
Lisätietoa +

Hyökkäystapa

  • Ilman kirjautumista
  • Etäkäyttö
  • Ilman käyttäjän toimia
Lisätietoja hyökkäystavasta +

Hyväksikäyttö

  • Tietojen muokkaaminen
  • Luottamuksellisen tiedon hankkiminen
  • Suojauksen ohittaminen
Lisätietoja hyväksikäytöstä +

Ratkaisu

  • Korjaava ohjelmistopäivitys
Lisätietoja ratkaisusta +

Haavoittuvat ohjelmistot:

Katso tarkemmat haavoittuvuuskohtaiset tiedot eri ohjelmistoversioista OpenSSL:n tiedotteesta.

Haavoittuvia ovat OpenSSL-ohjelmistoversiot:

  • 1.01, 1.01a - 1.0.1s
  • 1.0.2, 1.0.2a - 1.0.2g

Ratkaisu- ja rajoitusmahdollisuudet:

Päivitä ohjelmistot OpenSSL-yhteisön ohjeiden mukaisesti. Korjauksen sisältävät ohjelmistoversiot 1.0.1t ja 1.0.2h ovat ladattavissa OpenSSL-yhteisön sivuilta tai käyttöjärjestelmän paketinhallinnan avulla.

Lisätietoa:


Päivityshistoria

Asiasanat: Tietoturva , Haavoittuvuudet

LinkedIn Print

Yhteystiedot

logo

Viestintävirasto

Kyberturvallisuuskeskus

PL 313, 00181 Helsinki


Mediayhteydenotot puhelimitse 0295 390 248