Уязвимость отказа в обслуживании (DoS) в OpenSSL, вызванная некорректным ограничением клиентских повторных согласований в протоколах SSL и TLS
Описание
OpenSSL не ограничивает должным образом повторную клиентскую инициализацию соединения (renegotiation) в протоколах SSL и TLS. Это может позволить удалённым злоумышленникам вызвать отказ в обслуживании (чрезмерное потребление ресурсов процессора) путём выполнения множества повторных инициализаций в рамках одного соединения. Данная проблема отличается от CVE-2011-5094.
Примечание: можно утверждать, что ответственность за предотвращение или ограничение повторных согласований лежит на развертывании серверов, а не на библиотеке безопасности, особенно если повторные согласования неуместны в конкретной среде.
Затронутые версии ПО
- OpenSSL до версии 0.9.8l
- OpenSSL версии 0.9.8m через 1.x
Тип уязвимости
- Чрезмерное потребление ресурсов процессора (CPU)
- Отказ в обслуживании (DoS)
Идентификаторы
- Связанная проблема: CVE-2011-5094
Затронутые пакеты
| Платформа | Пакет | Состояние | Рекомендация | Релиз |
|---|---|---|---|---|
| Red Hat Enterprise Linux 4 | openssl | Will not fix | ||
| Red Hat Enterprise Linux 4 | openssl096b | Will not fix | ||
| Red Hat Enterprise Linux 5 | openssl | Will not fix | ||
| Red Hat Enterprise Linux 5 | openssl097a | Will not fix | ||
| Red Hat Enterprise Linux 6 | openssl | Will not fix | ||
| Red Hat Enterprise Linux 6 | openssl098e | Will not fix |
Показывать по
Дополнительная информация
Статус:
4.3 Medium
CVSS2
Связанные уязвимости
OpenSSL before 0.9.8l, and 0.9.8m through 1.x, does not properly restrict client-initiated renegotiation within the SSL and TLS protocols, which might make it easier for remote attackers to cause a denial of service (CPU consumption) by performing many renegotiations within a single connection, a different vulnerability than CVE-2011-5094. NOTE: it can also be argued that it is the responsibility of server deployments, not a security library, to prevent or limit renegotiation when it is inappropriate within a specific environment
OpenSSL before 0.9.8l, and 0.9.8m through 1.x, does not properly restrict client-initiated renegotiation within the SSL and TLS protocols, which might make it easier for remote attackers to cause a denial of service (CPU consumption) by performing many renegotiations within a single connection, a different vulnerability than CVE-2011-5094. NOTE: it can also be argued that it is the responsibility of server deployments, not a security library, to prevent or limit renegotiation when it is inappropriate within a specific environment
OpenSSL before 0.9.8l, and 0.9.8m through 1.x, does not properly restr ...
** DISPUTED ** OpenSSL before 0.9.8l, and 0.9.8m through 1.x, does not properly restrict client-initiated renegotiation within the SSL and TLS protocols, which might make it easier for remote attackers to cause a denial of service (CPU consumption) by performing many renegotiations within a single connection, a different vulnerability than CVE-2011-5094. NOTE: it can also be argued that it is the responsibility of server deployments, not a security library, to prevent or limit renegotiation when it is inappropriate within a specific environment.
4.3 Medium
CVSS2