Haavoittuvuus OpenSSL -kirjastossa

OpenSSL-kirjaston funktiosta asn1_d2i_read_bio on löytynyt puskurinylivuodon mahdollistava haavoittuvuus. Haavoittuvuus vaikuttaa sovelluksiin, jotka käyttävät kirjastoa lukeakseen DER -muotoisia varmenteita, tai käyttävät kirjaston SMIME-toimintoja. Haavoittuvuus ei vaikuta OpenSSL:n SSL/TLS ominaisuuksiin.

Tarkka lista funktioista, joihin haavoittuvuus vaikuttaa, löytyy OpenSSL-yhteisön tiedotteesta. Ohjelmat, jotka kutsuvat haavoittuvia funktioita, voivat olla haavoittuvia.

OpenSSL on ilmoittanut, että päivitys 0.9.8v:hen ei korjannut haavoittuvuutta. Sen sijaan käyttäjiä kehoitetaan päivittämään versioon 0.9.8w.

  • Palvelimet ja palvelinsovellukset
  • Työasemat ja loppukäyttäjäsovellukset
  • Verkon aktiivilaitteet
  • Matkaviestinjärjestelmät
  • Sulautetut järjestelmät
  • Muut

Kohde

  • Palvelimet ja palvelinsovellukset
  • Työasemat ja loppukäyttäjäsovellukset
  • Verkon aktiivilaitteet
Lisätietoa +

Hyökkäystapa

  • Paikallisesti
Lisätietoja hyökkäystavasta +

Hyväksikäyttö

  • Komentojen mielivaltainen suorittaminen
Lisätietoja hyväksikäytöstä +

Ratkaisu

  • Korjaava ohjelmistopäivitys
Lisätietoja ratkaisusta +

Haavoittuvat ohjelmistot:

  • OpenSSL ennen versioita 1.0.1a, 1.0.0i tai 0.9.8w

Ratkaisu- ja rajoitusmahdollisuudet:

Päivitä OpenSSL korjattuun versioon.

Lisätietoa:

Päivityshistoria


Asiasanat: Tietoturva, Haavoittuvuudet


Google+ Print