![[CERT-SE]](/static/img/cert-se.svg)
![[MSB]](/static/img/msb.svg)
Publicerad
SR10-008 OpenSSL - Minnesläcka kan leda till DoS
Vissa applikationer, exempelvis Apache med PHP, är sårbara för en tillgänglighetsattack.
Problembeskrivning
CVE-referens: CVE-2009-4355
En minneläcka har identifierats i kryptobiblioteket OpenSSL. Vissa applikationer som använder OpenSSL, exempelvis Apache med PHP, är därför sårbara för en tillgänglighetsattack. Angriparen skickar HTTPS-anrop tills minnet tar slut på servern. Funktionen CRYPTO_free_all_ex_data() innehåller minnesläckan.
OpenSSL har släppt patchar som åtgärdar säkerhetshålet:
http://cvs.openssl.org/chngview?cn=19068
http://cvs.openssl.org/chngview?cn=19069
Bland annat Debian och Ubuntu har uppdaterats med patcharna (se nedan).
Påverkade versioner
- OpenSSL version 0.9.8l eller tidigare
Mer information och programrättningar
http://www.vupen.com/english/advisories/2010/0124
http://secunia.com/advisories/38200/
http://www.ubuntu.com/usn/USN-884-1
http://www.debian.org/security/2010/dsa-1970