细水 2010.03.06

漏洞播报

OpenSSL kssk_keytab_is_available()远程拒绝服务出漏洞

发布日期:2010-03-03
更新日期:2010-03-05
受影响系统:

OpenSSL Project OpenSSL 0.9.x

safety

 

描述:


BUGTRAQ  ID: 38533
CVE(CAN) ID: CVE-2010-0433
OpenSSL是一种开放源码的SSL实现,用来实现网络通信的高强度加密,现在被广泛地用于各种网络应用程序中。
OpenSSL的ssl/kssl.c文件中的kssl_keytab_is_available()函数没有正确的检查krb5_sname_to_principal()函数的返回值。如果kssl_keytab_is_available()失败,就可能使用空的principal调用krb5_kt_get_entry()。远程攻击者可以通过在client hello消息中发送特制的密码组来触发空指针引用,导致拒绝服务的情况。
<*来源:Todd Rinaldo
  链接:http://secunia.com/advisories/38807/
http://www.openwall.com/lists/oss-security/2010/03/03/5
https://bugzilla.redhat.com/show_bug.cgi?format=multiple&id=567711
https://bugzilla.redhat.com/show_bug.cgi?format=multiple&id=569774
*>
建议:


厂商补丁:
OpenSSL Project
—————
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://cvs.openssl.org/chngview?cn=19374


您可以随意转载,但必须在显著位置标明 原创链接 和本 版权声明

本文链接: http://www.mcafeefans.com/?p=4466

发表评论

电子邮件地址不会被公开。

:wink: :twisted: :roll: :mrgreen: 8) :-D :arrow: :-o more »

返回页首返回页尾