اطلاعیه

Collapse
No announcement yet.

برطرف كردن رخنه امنیتی DoS در OpenSSL

Collapse
X
 
  • Filter
  • زمان
  • Show
Clear All
new posts

  • برطرف كردن رخنه امنیتی DoS در OpenSSL

    پروژه OpenSSL نسخه های جدیدی از كتابخانه مشهور OpenSSL را به منظور برطرف كردن آسیب پذیری انكار سرویس (DoS) منتشر كرد. این آسیب پذیری در اصلاحیه بسیار مهم منتشر شده در ششم ژانویه معرفی شد.

    توسعه دهندگان OpenSSL در یك راهنمایی امنیتی كه به تازگی منتشر شد هشدار دادند:" یك نقص كه در آسیب پذیری CVE-2011-4108 توضیح داده شد، می تواند برای حملات انكار سرویس مورد سوء استفاده قرار بگیرد."

    این مساله در OpenSSL نسخه های g1.0.0 و t0.9.8 كه روز چهارشنبه منتشر شد، برطرف گردید.

    CVE-2011-4108 به یك آسیب پذیری بسیار مهم در پیاده سازی OpenSSL از پروتكل DTLS اشاره می كند. این آسیب پذیری به مهاجمان اجازه می دهد تا ارتباطات امن شده را بدون دانستن كلید رمزگذاری، رمزگشایی نمایند.

    به كاربرانی كه به منظور حفاظت برنامه كاربردی DTLS خود در برابر آسیب پذیری CVE-2011-4108هنوز OpenSSL خود را به نسخه f 1.0.0 یا s 0.9.8 ارتقاء نداده اند، توصیه می شود كه OpenSSL خود را به طور مستقیم به نسخه g 1.0.0 یا t 0.9.8 كه تازه منتشر شده اند، ارتقاء دهند.

    OpenSSL برای طیف گسترده ای از پلت فرم ها از جمله لینوكس، سولاری، مكینتاش، ویندوز، BSD و OpenVMS در دسترس است و برخی از این سیستم عامل ها به طور پیش فرض OpenSSL را دارند و به روز رسانی OpenSSL را از طریق كانال های خود اعمال می نمایند.
    ....

  • #2
    آسیب*پذیری DoS هنگام پردازش MIME headers در OpenSSL

    آسیب*پذیری DoS هنگام پردازش MIME headers در OpenSSL



    شرح:

    یک مورد آسیب*پذیری هنگام پردازش MIME headers در OpenSSL گزارش شده که در صورت سوء استفاده ممکن است موجب حملات جلوگیری از ارائه*ی سرویس (DoS) شود.


    متن انگلیسی خبر

    Secunia Advisory SA48153
    OpenSSL ASN.1 MIME Header Parsing NULL Pointer Dereference Vulnerability
    Secunia Advisory SA48153
    Get alerted and manage the vulnerability life cycle
    Free Trial

    Release Date 2012-02-28

    Popularity 701 views
    Comments 0 comments

    Criticality level Moderately criticalModerately critical
    Impact DoS
    Where From remote
    Authentication level Available in Customer Area

    Report reliability Available in Customer Area
    Solution Status Vendor Workaround

    Systems affected Available in Customer Area
    Approve distribution Available in Customer Area

    Software:
    OpenSSL 0.x
    OpenSSL 1.x

    Secunia CVSS Score Available in Customer Area
    CVE Reference(s) CVE-2006-7248 CVSS available in Customer Area

    De******ion

    A vulnerability has been reported in OpenSSL, which can be exploited by malicious people to cause a DoS (Denial of Service) of the application using the library.

    The vulnerability is caused due to a NULL-pointer dereference error in the "mime_hdr_cmp()" function (crypto/asn1/asn_mime.c) when parsing certain MIME headers and can be exploited to cause a crash.

    The vulnerability is reported in versions 0.9.7i, 0.9.8t, and 1.0.0g. Other versions may also be affected.

    Solution
    Fixed in the CVS repository.

    Provided and/or discovered by
    Reported by Mats Nilsson to the openssl-dev mailing list.

    Original Advisory
    Mats Nilsson:
    http://marc.info/?l=openssl-dev&m=115685408414194&w=2

    OpenSSL:
    http://cvs.openssl.org/chngview?cn=22144

    Deep Links
    Links available in Customer Area

    Do you have additional information related to this advisory?

    Please provide information about patches, mitigating factors, new versions, exploits, faulty patches, links, and other relevant data by posting comments to this Advisory. You can also send this information to [email protected]
    Subject: OpenSSL ASN.1 MIME Header Parsing NULL Pointer Dereference Vulnerability

    منبع:
    http://secunia.com/advisories/48153
    http://www.netqurd.com/

    Comment

    Working...
    X