Som du ser är vår webbplats inte anpassad för äldre webbläsare. Vi rekommenderar att du uppgraderar till en nyare webbläsare.

Uppdaterad | Publicerad - Sårbarhet

SR03-024 OpenSSL 0.9.7.c och OpenSSL 0.9.6.k

Publicerad: 030930

Problembeskrivning:
SSL (Secure Sockets Layer) och TLS (Transport Layer Security) protokollen används för autentisering, kryptering och integritet för nätverksapplikationer vars protokoll ligger på en högre nivå, som t.ex. HTTP. Det finns ett antal sårbarheter i flertalet implementeringar av SSL och TLS protokollen. Dessa sårbarheter beror i stor utsträckning på hanteringen av ASN.1 (Abstract Syntax Notation One). Vissa protokoll nyttjar krypteringselement som representeras i form av ASN.1 objekt och för att SSL och TLS implementeringar ska kunna kryptera och dekryptera dessa inkluderas verktyg för att hantera ASN.1.

OpenSSL är en vida spridd implementering av SSL och TLS protokollen. OpenSSL erbjuder också ett generellt krypteringsbibliotek som inkluderar verktyg för att hantera ASN.1.

CVE referens: (CAN-2003-0543)
1. Det finns en sårbarhet som beror på att OpenSSL hanterar ASN.1 "taggarna" felaktigt. Detta kan utnyttjas för att stoppa en tjänst.

CVE referens: (CAN-2003-0544)
2. Det finns ytterligare en sårbarhet som beror på att OpenSSL hanterar ASN.1 "taggarna" felaktigt. Även denna kan utnyttjas för att stoppa en tjänst.

CVE referens: (CAN-2003-0545)
3. Det finns en sårbarhet som beror på att OpenSSL hanterar ASN.1 strukturer felaktigt. Detta kan utnyttjas för att exekvera kod på maskinen.

CVE referens: saknas
4. Det finns en sårbarhet som beror på att OpenSSL hanterar ogiltiga publika nycklar i klientcertifikatmeddelanden. Detta kan utnyttjas för att stoppa en tjänst. För att utnyttja detta krävs att applikationen är konfigurerad att ignorera avkodningsfel för publika nycklar, något som är ovanligt för produktionssystem.

OpenSSL accepterar "ej begärda klientcertifikatmeddelanden". För en angripare möjliggör det utnyttjandet av sårbarheter i klientcertifikathanteringen, såsom de ovan nämnda.

Påverkade versioner:
OpenSSL 0.9.7.b inklusive tidigare versioner och OpenSSL 0.9.6.j inklusive tidigare versioner. Eftersom OpenSSL nyttjas av flertalet operativsystem kan de komma att påverkas, t.ex. linuxdistributioner och Cisco.

Uppdatering:
http://www.openssl.org

Mer information:
http://www.openssl.org/news/sedadv_20030930.txt
http://www.cert.org/advisories/CA-2003-26.html

Versionshistorik:
030930: Särskilt råd skapat.
031003: Problembeskrivning och länkar har uppdaterats.