VulDB: OpenSSL bis 0.9.8d korrupter SSLv2 Client Denial of Service
Allgemein
scipID: 2577
Betroffen: OpenSSL 0.9.8d
Veröffentlicht: 28.09.2006 (Tavis Ormandy und Will Drewry, Google Security Team)
Risiko: 
kritisch
Beschreibung
OpenSSL stellt eine open-source Implementierung des SSL-Protokolls dar. Vier Schwachstellen wurden im OpenSSL Security Advisory 20060928 veröffentlicht. Wird eine Verbindung mit einem SSLv2-Client umgesetzt, kann ein korrupter Server diesen zum Absturz bringen. Weitere Details oder ein Exploit sind nicht bekannt. Dieser sowie die anderen Fehler wurden in OpenSSL 0.9.7l sowie 0.9.8d behoben.
Auch diese Verwundbarkeit zeigt, dass harmlose Client-Applikationen für Attacken missbraucht werden können. Das Einspielen der Patches bzw. das Updaten auf die aktuellste OpenSSL-Version ist entsprechend empfohlen.
Exploiting
Klasse: Denial of Service
Lokal: Ja
Remote: Ja
Exploit: http://milw0rm.com/exploits/4773
Milw0rm: 4773
Nessus: –
ATK: –
Gegenmassnahmen
Status: Es ist eine aktualisierte Software-Version verfügbar.
Bestätigung: http://www.ingate.com/relnote-452.php
Massnahme: Ein Upgrade auf die aktuellste Software-Version durchführen.
Link: http://www.openssl.org
Snort: –
Pattern: –
Quellen
Advisory: http://www.openssl.org/news/secadv_20060928.txt
CVE: CVE-2006-4343
OSVDB: 29263
Securityfocus: 20246
Secunia: 25420
X-Force: 29240
Securitytracker: –
VUPEN: ADV-2007-1973
Securiteam: –
Tecchannel: –
Heise: –
smSS: smSS 19. Oktober 2006
Buchtipp: George Kurtz, Stuart McClure und Joel Scambray (2002), Das Anti-Hacker-Buch, mitp, ISBN 3826608453 (amazon.de)
