Som du ser är vår webbplats inte anpassad för äldre webbläsare. Vi rekommenderar att du uppgraderar till en nyare webbläsare.

Publicerad - Sårbarhet, OpenSSL

SR10-237 OpenSSL - Två sårbarheter rättade

Två sårbarheter rättade i uppdaterade versioner av OpenSSL.

Problembeskrivning

CVE-referens: CVE-2010-4180 CVE-2010-4252

  1. Den första sårbarheten beror på en brist i en tidigare rättning i OpenSSL:s SSL/TLS-serverkod. Vid ett effektivt utnyttjande kan en angripare nedgradera styrkan på krypteringen i kommande sessioner genom att manipulera "stored session cache ciphersuite".

OpenSSL tackar Martin Rex för upptäckten.

  1. Den andra sårbarheten finns i OpenSSL:s implementation av J-PAKE (Password Authenticated Key Exchange by Juggling). Sårbarheten kan medge validering utan att den hemliga nyckeln är känd av en potentiell angripare. OpenSSL:s implementation av J-PAKE är fortfarande experimentell och kompileras inte som standard.

OpenSSL tackar Sebastian Martini för upptäckten.

För mer information, se länken nedan.

Påverkade versioner

  • Versioner tidigare än OpenSSL 0.9.8q
  • Versioner tidigare än OpenSSL 1.0.0c

Mer information och programrättningar

http://openssl.org/news/secadv_20101202.txt