Отказ в обслуживании в OpenSSL
| Дата публикации: | 06.09.2011 |
| Всего просмотров: | 1081 |
| Опасность: | Низкая |
| Наличие исправления: | Да |
| Количество уязвимостей: | 2 |
| CVSSv2 рейтинг: | 5 (AV:N/AC:L/Au:N/C:N/I:P/A:N/E:U/RL:O/RC:C) 7.1 (AV:N/AC:M/Au:N/C:N/I:N/A:C/E:U/RL:O/RC:C) |
| CVE ID: |
CVE-2011-3207 CVE-2011-3210 |
| Вектор эксплуатации: | Удаленная |
| Воздействие: |
Неавторизованное изменение данных Обход ограничений безопасности |
| CWE ID: | Нет данных |
| Наличие эксплоита: | Нет данных |
| Уязвимые продукты: | OpenSSL 1.x |
| Уязвимые версии:OpenSSL версий 1.0.0 - 1.0.0d
Описание: 1. Уязвимость существует из-за ошибки при внутренней проверке сертификата OpenSSL. OpenSSL может принять (Certificate Revocation Lists) с прошедшей датой в поле nextUpdate. 2. Уязвимость существует из-за ошибки в реализации эфемерных наборов шифров ECDH. Удаленный пользователь может с помощью специально сформированной цепочки сообщений авторизации вызвать аварийное прекращение работы системы. Примечание: Для успешной эксплуатации № 2 уязвимости наборы шифрования ECDH должны быть включены и поддерживаться. URL производителя: http://www.openssl.org/ Решение: Для устранения уязвимости установите продукт версии 1.0.0e с сайта производителя. |
|
| Ссылки: | http://www.openssl.org/news/secadv_20110906.txt |