10. 01. 2014

V OpenSSL bylo opraveno několik bezpečnostních zranitelností. OpenSSL je v informatice open source implementace protokolů SSL a TLS. Poskytuje knihovny napsané v jazyce C, které zahrnují základní kryptografické funkce. OpenSSL je k dispozici pro unixové operační systémy (Solaris, Linux, Mac OS X a operační systémy BSD), OpenVMS a Microsoft Windows.

Charakteristiky zranitelností

Chyba v implementaci DTLS přenosů v OpenSSL ve verzích do 0.9.8y a do 1.0.1e může vést k pádu aplikace využívající OpenSSL a DTLS. Opraveno od verze OpenSSL 1.0.0l a OpenSSL 1.0.1f

Chyba v OpenSSL může vést k pádu aplikace využívající OpenSSL do verze 1.0.1e v případech, kdy je využíván protokol TLS verze 1.2. Opraveno od verze OpenSSL 1.0.1f

Škodlivá úprava v TLS handshake způsobí pád OpenSSL. Tato chyba OpenSSL do verze 1.0.1e umožňuje vzdálenému škodlivému serveru ukončit navazování spojení připojovaného klienta na základě výjimky ukazatele NULL. Opraveno od verze OpenSSL 1.0.1f.

Postižené systémy

  • Systémy využívající OpenSSL dotčených verzí.

Dopad zranitelností

Umožní napadnout systém využívající zranitelné verze OpenSSL útoky typu man-in-the-middle, denial of service (daemon crash), denial of service (NULL pointer dereference and application crash) a potencionální oslabení PRNGs (Pseudorandom number generator).

Řešení

Upgradovat OpenSSL na verzi 1.0.1f a novější.

CVE

CVE-2013-6450, CVE-2013-6449, CVE-2013-4353

Odkazy

http://www.openssl.org/news/vulnerabilities.html
http://securityvulns.com/news/openssl/1401.html
http://www.ubuntu.com/usn/usn-2079-1/
http://rhn.redhat.com/errata/RHSA-2014-0015.html