Sex nya sårbarheter i OpenSSL
Nu släpper OpenSSL nya versioner som åtgärdar minst sex av dessa identifierade bristerna. Den allvarligaste medger att en angripare kan modifiera innehållet i en krypterad anslutning mellan klient och server.
Dock så måste både server och klient inneha en sårbar version för att attacken ska gå att genomföras. Samtliga OpenSSL-versioner på klientsidan är sårbara men enbart version 1.0.1 samt 1.0.2-beta1 på serversidan.
- ChangeCipherSpec: SSL/TLS MITM vulnerability (CVE-2014-0224)
Övriga brister som åtgärdats är följande:
- DTLS recursion flaw (CVE-2014-0221)
- DTLS invalid fragment vulnerability (CVE-2014-0195)
- SSL_MODE_RELEASE_BUFFERS NULL pointer dereference (CVE-2014-0198)
- SSL_MODE_RELEASE_BUFFERS session injection or denial of service (CVE-2010-5298)
- Anonymous ECDH denial of service (CVE-2014-3470)
Här kan du läsa mer om sårbarheterna:
- OpenSSL_secadv_20140605 (txt)
Samt: