Som du ser är vår webbplats inte anpassad för äldre webbläsare. Vi rekommenderar att du uppgraderar till en nyare webbläsare.
!!

Vi söker en teknisk skribent, en it-säkerhetsspecialist och en övningskoordinator till CERT-SE, alla centrala roller i arbetet med att utveckla Sveriges förmåga att förebygga och hantera it-incidenter. Sista ansökningsdag är den 29 maj, 31 maj respektive den 5 juni.

Uppdaterad | Publicerad - Sårbarhet, krypto

SR09-052 OpenSSL - Flera sårbarheter upptäckta

Flera sårbarheter har upptäckts i OpenSSL, effektivt utnyttjande kan leda till en blockeringsattack eller möjlighet att kringgå säkerhetsmekanismer på det sårbara systemet.

Problembeskrivning

CVE-referens: CVE-2009-0590 CVE-2009-0591 CVE-2009-0789

Ivan Nestlerode, IBM och Paolo Ganci har upptäckt flera sårbarheter i OpenSSL.

Sårbarheterna beskrivs kortfattat nedan:

CVE-2009-0590: En sårbarhet i funktionen "ASN1_STRING_print_ex()" kan utnyttjas för att för att komma åt ogiltigt minne och på sätt få OpenSSL att krascha.

CVE-2009-0591:En sårbarhet i funktionen "CMS_verify()" orsakas av bristande felhantering av korrupta signerade attribut, vilket kan leda till att säkerhetmekanismer kan kringgås. För att utnyttja sårbarheten krävs tillgång till en tidigare ogiltig signatur.

CVE-2009-9789: En sårbarhet i hanteringen av korrupta ASN1-strukturer kan utnyttjas för att för att komma åt ogiltigt minne och på sätt få OpenSSL att krascha.

OBS: sårbarheten gäller endast vissa plattformar (t.ex. Win64).

Sårbarheterna är åtgärdade i OpenSSL 0.9.8k.

Påverkade versioner

  • OpenSSL 0.9.8j samt tidigare versioner

Mer information och programrättningar

http://www.openssl.org/news/secadv_20090325.txt