SR04-021 OpenSSL sårbart för tillgänglighetsattack (DoS)

Publicerad: 040317

Problembeskrivning:
CVE-referens: (CAN-2004-0079)
1. Tester av OpenSSL har visat på en sårbarhet i "do_change_cipher_spec()"-funktionen vilket ger en angripare möjligheter att utnyttja en specialdesignad SSL/TLS handskakning på ett sätt som kan få OpenSSL att krascha.

CVE-referens: (CAN-2004-0112)
2.Dr. Stephen Henson har upptäckt en sårbarhet i koden för SSL/TLS handskakning vid användandet av kerberos chiffer-teknik. Även här kan en angripare krascha OpenSSL. Detta drabbar endast versionerna 0.9.7a - 0.9.7c

CVE-referens: (CAN-2004-0081)
3. Tester av OpenSSL har visat på ett gammalt programfel (bug) i OpenSSL 0.9.6 som kan leda till en tillgänglighetsattack (DoS). Felet uppdagades av en programrättning av OpenSSL 0.9.6d.

Påverkade versioner:
OpenSSL 0.9.6 - 0.9.6l
OpenSSL 0.9.7 - 0.9.7c

Uppdatering:
http://www.openssl.org/news/secadv_20040317.txt

Tillfällig lösning:
Ingen angiven för tillfället.

Mer information:
http://www.uniras.gov.uk/vuls/2004/224012/index.htm
http://www.openssl.org/news/secadv_20040317.txt

Versionshistorik:
040317: Särskilt råd skapat.
040323: Updaterade namnen på länkarna.