微点交流论坛

标题: OpenSSL多个漏洞 [打印本页]

作者: pioneer 时间: 2009-5-8 10:52 标题: OpenSSL多个漏洞

来源

secunia.com

软件名

OpenSSL 0.9.x

描述

1)"ASN1_STRING_print_ex()"函数在打印"BMPString"或"UniversalString"字串时的一个错误可在打印认证的内容时通过非法的加密字串长来触发访问非法的内容或导致崩溃

2)"CMS_verify()"函数在处理畸形的有符号的属性时不正确的处理一个竞态条件错误，这可导致欺骗应用程序加入有效的畸形有符号属性集并且跳过进一步检查
注意：该漏洞只影响了OpenSSL V0.9.8h和CMS可用的最新版本（缺省下为不可用）
成功执行需要访问之前生成的无效签名

3)处理畸形ASN1架构时的一个错误可通过特定的验证来导致访问无效内容并导致崩溃

注意：该漏洞只影响现在"long" 大小小于"void *" (e.g. WIN64)的平台
据报告，该漏洞在V0.9.8k之前的版本中已经受到影响

解决方案

更新到V0.9.8k

欢迎光临微点交流论坛 (http://bbs.micropoint.com.cn/)

bbs.micropoint.com.cn