Background Print only logo
Cert logo
på svenska | in English
www.viestintävirasto.fi
Etusivu | Varoitukset | Tietoturva nyt! | Haavoittuvuudet | Ohjeet | Katsaukset | Palvelut | Esitykset |

Kyberturvallisuuskeskus

PL 313
00181 Helsinki

Mediayhteydenotot puhelimitse:
0295 390 248

Salausavaimet

Viestintävirasto

Itämerenkatu 3 A
00180 HELSINKI
Puhelinvaihde: 0295 390 100

Tarkat yhteystiedot

Tietoa evästeistä

Kyberturvallisuuskeskus Facebookissa

Etusivu > Haavoittuvuudet > 2012 > Haavoittuvuustiedote 072/2012

Haavoittuvuustiedote 072/2012

Palvelimet ja palvelinsovellukset Työasemat ja loppukäyttäjäsovellukset Verkon aktiivilaitteet Matkaviestimet Sulautetut järjestelmät Muut

19.4.2012

Haavoittuvuus OpenSSL -kirjastossa

     
Kohde: - palvelimet ja palvelinsovellukset
- työasemat ja loppukäyttäjäsovellukset
- verkon aktiivilaitteet
Lisätietoja
Hyökkäystapa: - paikallisesti
Lisätietoja
Hyväksikäyttö: - komentojen mielivaltainen suorittaminen
Lisätietoja
Ratkaisu: - korjaava ohjelmistopäivitys
Lisätietoja

OpenSSL-kirjaston funktiosta asn1_d2i_read_bio on löytynyt puskurinylivuodon mahdollistava haavoittuvuus. Haavoittuvuus vaikuttaa sovelluksiin, jotka käyttävät kirjastoa lukeakseen DER -muotoisia varmenteita, tai käyttävät kirjaston SMIME-toimintoja. Haavoittuvuus ei vaikuta OpenSSL:n SSL/TLS ominaisuuksiin.

Tarkka lista funktioista, joihin haavoittuvuus vaikuttaa, löytyy OpenSSL-yhteisön tiedotteesta. Ohjelmat, jotka kutsuvat haavoittuvia funktioita, voivat olla haavoittuvia.

OpenSSL on ilmoittanut, että päivitys 0.9.8v:hen ei korjannut haavoittuvuutta. Sen sijaan käyttäjiä kehoitetaan päivittämään versioon 0.9.8w.

HAAVOITTUVAT OHJELMISTOT:

  • OpenSSL ennen versioita 1.0.1a, 1.0.0i tai 0.9.8w

RATKAISU- JA RAJOITUSMAHDOLLISUUDET:

Päivitä OpenSSL korjattuun versioon.

LISÄTIETOA:

PÄIVITYSHISTORIA:

19.4.2012, kello 16.37: Julkaistu
25.4.2012, kello 10.39: Lisätty tieto puutteellisesta korjauksesta ja CVE-numero

Sivua päivitetty 26.04.2012   Tulostusversio Tulostusversio