CERT-FI haavoittuvuustiedote 053/2006

28.9.2006

Haavoittuvuuksia OpenSSL-kirjastoissa

Kohde:	- palvelimet ja palvelinsovellukset - verkon aktiivilaitteet	Lisätietoja
Hyökkäystapa:	- ilman kirjautumista - etäkäyttö - ilman käyttäjän toimia	Lisätietoja
Hyväksikäyttö:	- komentojen mielivaltainen suorittaminen - palvelunestohyökkäys	Lisätietoja
Ratkaisu:	- korjaava ohjelmistopäivitys	Lisätietoja

OpenSSL-kirjastoista on löytynyt vakavia haavoittuvuuksia, jotka voivat mahdollistaa palvelunestohyökkäyksen tai mielivaltaisen koodin suorittamisen kohdejärjestelmässä. Haavoittuvuudet vaikuttavat sekä palvelin- että työasemasovelluksiin, eikä niiden hyödyntäminen vaadi salatun yhteyden muodostamista tai tietoa käytettävistä salausavaimista. Työasemasovelluksissa haavoittuvuus vaatii käyttäjän toimia salatun yhteyden käynnistämiseksi.

HAAVOITTUVAT OHJELMISTOT:

Haavoittuvuus koskee seuraavia sovelluksia ja järjestelmiä:

• OpenSSL 0.9.8c tai sitä aiemmat versiot (0.9.8-sarja)
• OpenSSL 0.9.7k tai sitä aiemmat versiot (0.9.7-sarja)

Monet eri sovellukset käyttävät OpenSSL-kirjastoja salatun yhteyden muodostamiseen. CERT-FI:n tiedossa ovat seuraavat tämän myötä mahdollisesti haavoittuvat järjestelmät:

• MySQL
• exim
• psyBNC
• Perl Crypt_SSLeay
• Joukko Stonesoft-tuotteita

Osoitteessa http://www.kb.cert.org/vuls/id/547300 luetellaan lisää mahdollisesti haavoittuvia järjestelmiä.

RATKAISU- JA RAJOITUSMAHDOLLISUUDET:

Päivitä haavoittuva tietojärjestelmä uudempaan versioon:

• OpenSSL 0.9.7l (tai uudempi)
• OpenSSL 0.9.8d (tai uudempi)

OpenSSL-kirjastojen osalta päivitys on saatavilla osoitteessa:

http://www.openssl.org/source/

LISÄTIETOA:

• http://www.openssl.org/news/secadv_20060928.txt
• http://www.kb.cert.org/vuls/id/386964
• http://www.kb.cert.org/vuls/id/547300
• http://www.stonesoft.com/en/support/security_advisories/2909_2006.html
• CVE-2006-2937 CVE-2006-2940 CVE-2006-3738 CVE-2006-4343

PÄIVITYSHISTORIA:

28.9.2006: Julkaistu
29.9.2006: Päivitetty

Sivua päivitetty 11.03.2007

Tulostusversio