CERT-FI haavoittuvuustiedote 052/2006

28.9.2006

Haavoittuvuuksia X.509-varmenteiden käsittelyssä

Kohde:	- palvelimet ja palvelinsovellukset - työasemat ja loppukäyttäjäsovellukset	Lisätietoja
Hyökkäystapa:	- etäkäyttö - ilman käyttäjän toimia	Lisätietoja
Hyväksikäyttö:	- palvelunestohyökkäys	Lisätietoja
Ratkaisu:	- korjaava ohjelmistopäivitys	Lisätietoja

Tietyt X.509-varmenteita käsittelevät sovellukset eivät aseta rajoituksia varmenteen RSA-eksponentin koolle. Hyökkääjä voi tällöin saada aikaan palvelunestohyökkäyksen valitsemalla mielivaltaisen suuren eksponentin.

HAAVOITTUVAT OHJELMISTOT:

Haavoittuvuus on hyväksikäytettävissä antamalla hyökkäystarkoituksessa laadittu varmenne tavallisen varmennetarkistuksen yhteydessä. Haavoittuvuus koskee sekä palvelin- että työasemasovelluksia. Työasemasovelluksissa se vaatii aktivoituakseen käyttäjän toimia, kuten vierailemisen viallista varmennetta käyttävällä palvelimella.

Haavoittuvuus koskee ainakin seuraavia sovelluksia ja järjestelmiä:

• OpenSSL 0.9.7k tai sitä aiemmat versiot (0.9.7-sarja)
• Intoto VPN ja SSLVPN
• FreeBSD
• Ubuntu
• GnuTLS

RATKAISU- JA RAJOITUSMAHDOLLISUUDET:

Päivitä haavoittuva tietojärjestelmä uudempaan versioon.

• OpenSSL 0.9.7l (tai uudempi)
• OpenSSL 0.9.8d (tai uudempi)
• Intoto: ota yhteys valmistajaan

OpenSSL-kirjastojen osalta päivitys on saatavilla osoitteessa:

http://www.openssl.org/source/

LISÄTIETOA:

• http://www.kb.cert.org/vuls/id/423396
• http://www.niscc.gov.uk/niscc/docs/br-20060928-00659.html?lang=en
• http://www.niscc.gov.uk/niscc/docs/re-20060928-00661.pdf?lang=en
• http://www.openssl.org/news/secadv_20060928.txt
• http://www.kb.cert.org/vuls/id/423396

Tähän haavoittuvuuteen liittyvät CVE-numerot:

• CVE-2006-2937
• CVE-2006-2940

PÄIVITYSHISTORIA:

28.1.2006: Julkaistu
29.9.2006: Lisätty tietoja haavoittuvista järjestelmistä.

Sivua päivitetty 11.03.2007

Tulostusversio