Уязвимость отказа в обслуживании (DoS) в файле "d1_both.c" реализации DTLS в OpenSSL, вызываемая через специально созданные сообщения DTLS handshake
Описание
Обнаружена уязвимость в файле d1_both.c реализации протокола DTLS в OpenSSL. Удалённые злоумышленники могут вызвать отказ в обслуживании (чрезмерное потребление памяти) через специально созданные сообщения DTLS handshake, которые инициируют выделение памяти, соответствующее большим значениям длины. Это может привести к аварийному завершению работы сервера или клиента DTLS, использующего OpenSSL, либо к чрезмерному потреблению памяти.
Затронутые версии ПО
- OpenSSL 0.9.8 до версии 0.9.8zb
- OpenSSL 1.0.0 до версии 1.0.0n
- OpenSSL 1.0.1 до версии 1.0.1i
Тип уязвимости
- Чрезмерное потребление памяти (memory consumption)
- Аварийное завершение работы (crash)
- Отказ в обслуживании (DoS)
Затронутые пакеты
| Платформа | Пакет | Состояние | Рекомендация | Релиз |
|---|---|---|---|---|
| Red Hat Enterprise Linux 5 | openssl097a | Not affected | ||
| Red Hat Enterprise Linux 6 | openssl098e | Affected | ||
| Red Hat Enterprise Linux 7 | openssl098e | Affected | ||
| Red Hat Enterprise Virtualization 3 | mingw-virt-viewer | Affected | ||
| Red Hat JBoss Enterprise Application Platform 5 | openssl | Will not fix | ||
| Red Hat JBoss Enterprise Web Server 1 | openssl | Will not fix | ||
| Red Hat JBoss Enterprise Web Server 1 | others | Not affected | ||
| Red Hat Enterprise Linux 5 | openssl | Fixed | RHSA-2014:1053 | 13.08.2014 |
| Red Hat Enterprise Linux 6 | openssl | Fixed | RHSA-2014:1052 | 13.08.2014 |
| Red Hat Enterprise Linux 7 | openssl | Fixed | RHSA-2014:1052 | 13.08.2014 |
Показывать по
Дополнительная информация
Статус:
5 Medium
CVSS2
Связанные уязвимости
d1_both.c in the DTLS implementation in OpenSSL 0.9.8 before 0.9.8zb, 1.0.0 before 1.0.0n, and 1.0.1 before 1.0.1i allows remote attackers to cause a denial of service (memory consumption) via crafted DTLS handshake messages that trigger memory allocations corresponding to large length values.
d1_both.c in the DTLS implementation in OpenSSL 0.9.8 before 0.9.8zb, 1.0.0 before 1.0.0n, and 1.0.1 before 1.0.1i allows remote attackers to cause a denial of service (memory consumption) via crafted DTLS handshake messages that trigger memory allocations corresponding to large length values.
d1_both.c in the DTLS implementation in OpenSSL 0.9.8 before 0.9.8zb, ...
d1_both.c in the DTLS implementation in OpenSSL 0.9.8 before 0.9.8zb, 1.0.0 before 1.0.0n, and 1.0.1 before 1.0.1i allows remote attackers to cause a denial of service (memory consumption) via crafted DTLS handshake messages that trigger memory allocations corresponding to large length values.
Уязвимость программного обеспечения OpenSSL, позволяющая удаленному злоумышленнику нарушить доступность защищаемой информации
5 Medium
CVSS2