CERT-FI haavoittuvuustiedote 072/2012

19.4.2012

Haavoittuvuus OpenSSL -kirjastossa

Kohde:	- palvelimet ja palvelinsovellukset - työasemat ja loppukäyttäjäsovellukset - verkon aktiivilaitteet	Lisätietoja
Hyökkäystapa:	- paikallisesti	Lisätietoja
Hyväksikäyttö:	- komentojen mielivaltainen suorittaminen	Lisätietoja
Ratkaisu:	- korjaava ohjelmistopäivitys	Lisätietoja

OpenSSL-kirjaston funktiosta asn1_d2i_read_bio on löytynyt puskurinylivuodon mahdollistava haavoittuvuus. Haavoittuvuus vaikuttaa sovelluksiin, jotka käyttävät kirjastoa lukeakseen DER -muotoisia varmenteita, tai käyttävät kirjaston SMIME-toimintoja. Haavoittuvuus ei vaikuta OpenSSL:n SSL/TLS ominaisuuksiin.

Tarkka lista funktioista, joihin haavoittuvuus vaikuttaa, löytyy OpenSSL-yhteisön tiedotteesta. Ohjelmat, jotka kutsuvat haavoittuvia funktioita, voivat olla haavoittuvia.

OpenSSL on ilmoittanut, että päivitys 0.9.8v:hen ei korjannut haavoittuvuutta. Sen sijaan käyttäjiä kehoitetaan päivittämään versioon 0.9.8w.

HAAVOITTUVAT OHJELMISTOT:

• OpenSSL ennen versioita 1.0.1a, 1.0.0i tai 0.9.8w

RATKAISU- JA RAJOITUSMAHDOLLISUUDET:

Päivitä OpenSSL korjattuun versioon.

LISÄTIETOA:

• http://www.openssl.org/news/secadv_20120419.txt
• CVE-2012-2110
• CVE-2012-2131
  

PÄIVITYSHISTORIA:

19.4.2012, kello 16.37: Julkaistu
25.4.2012, kello 10.39: Lisätty tieto puutteellisesta korjauksesta ja CVE-numero

Sivua päivitetty 26.04.2012

Tulostusversio