pioneer
超级版主
积分 4563
发帖 4545
注册 2007-7-16
来自 BJ
|
#1 yaSSL多个漏洞
来源
secunia.com
软件名
yaSSL Library 1.x
描述
这可导致恶意拒绝服务和危害使用了该库的应用程序
1)src/handshake.cpp的"ProcessOldClientHello()"方法中存在的越界访问错误可通过特定的SSL version 2 "Hello"包导致堆栈缓冲溢出
溢出成功后可执行任意代码
2)执行src/yassl_imp.cpp的SSL "Hello"包输入操作时的越界访问错误,可通过SSL version 3 "Hello"包导致缓冲溢出
溢出成功后可执行任意代码
3)taocrypt/src/hash.cpp的"HASHwithTransform::Update()"方法中存在的越界访问错误可通过特定的SSL "Hello"包引发不可读问题并崩溃应用程序
该漏洞在V1.7.5中已经确认,其它版本可能也受到影响
解决方案
只允许可信用户访问使用yaSSL的SSL服务器
| |
※文章所有权归【pioneer】与【东方微点论坛】共同所有,转载请注明出处!※
|
 |
|
