OpenSSL susceptible to DoS attacks

By N-Stalker Team on November 5, 2003

Uma falha de segurança foi encontrada na biblioteca OpenSSL versão 0.9.6k durante um teste de rotina. De acordo com o boletim publicado pela Novell Inc, as aplicações que rodam na plataforma MS Windows(r) ligados dinamicamente ou estaticamente à versão vulnerável da biblioteca são consideradas vulneráveis ao ataque de Denial-of-Service.

Uma falha na OpenSSL 0.9.6 causaria disparo de uma grande recursão de memória para sequências ASN.1 mal-formadas. Em plataformas Win32, esta grande recursão causa uma instabilidade na aplicação e a consequente indisponibilidade. Um usuário malicioso poderia explorar esta falha ao enviar sequências arbitrárias ASN.1 que travariam a aplicação utilizando OpenSSL. Isto poderia ser executado por exemplo, ao enviar um certificado de cliente para um servidor SSL/TLS que esteja configurado para aceitá-lo.

Os clientes devem fazer o upgrade de instalação para as versões 0.9.6l ou 0.9.7c..

Para maiores informações referente a este assunto, por favor acesse a página do projeto oficial OpenSSL na página http://www.openssl.org.

This entry was posted in Previous Security Advisories. Bookmark the permalink.