OpenSSL服务器端接收超长SSL3密钥缓冲区溢出漏洞

漏洞信息详情

OpenSSL服务器端接收超长SSL3密钥缓冲区溢出漏洞

• CNNVD编号：CNNVD-200208-028
• 危害等级： 高危
  
  
• CVE编号：
  CVE-2002-0657
  
• 漏洞类型：
  
  
  边界条件错误
  
• 发布时间：
  
  2002-07-30
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2006-09-21
  
• 厂        商：
  
  openssl
• 漏洞来源：
  A.L. Digital Ltd
  T…

OpenSSL是OpenSSL团队开发的一个开源的能够实现安全套接层（SSL v2/v3）和安全传输层（TLS v1）协议的通用加密库，它支持多种加密算法，包括对称密码、哈希算法、安全散列算法等。
OpenSSL的实现上存在缓冲区溢出漏洞，远程攻击者可能利用溢出攻击在服务器端或客户端执行任意指令。
远程攻击者可能发送超长的SSL版本3的客户端密钥，溢出服务器端守护进程的缓冲区，从而以守护进程的权限执行任意指令。这个漏洞只影响OpenSSL 0.9.7到0.9.7-beta3之间(不包括beta3)并打开了Kerberos选项的版本。

临时解决方法：
如果您不能立刻安装补丁或者升级，CNNVD建议您采取以下措施以降低威胁：

* 服务器端暂时禁止使用Kerberos
厂商补丁：
OpenSSL Project
—————
OpenSSL Project已经为此发布了一个安全公告(secadv_20020730)以及相应补丁:

secadv_20020730：OpenSSL Security Advisory [30 July 2002]

链接：http://www.openssl.org/news/secadv_20020730.txt” target=”_blank”>
http://www.openssl.org/news/secadv_20020730.txt

补丁下载：

OpenSSL 0.9.7-beta3:

http://www.openssl.org/source/openssl-0.9.7-beta3.tar.gz” target=”_blank”>
http://www.openssl.org/source/openssl-0.9.7-beta3.tar.gz

来源:CERT/CC Advisory: CA-2002-23
名称: CA-2002-23
链接:http://www.cert.org/advisories/CA-2002-23.html

来源:US-CERT Vulnerability Note: VU#561275
名称: VU#561275
链接:http://www.kb.cert.org/vuls/id/561275

来源: BID
名称: 5361
链接:http://www.securityfocus.com/bid/5361

来源: MANDRAKE
名称: MDKSA-2002:046
链接:http://www.linux-mandrake.com/en/security/2002/MDKSA-2002-046.php

来源: XF
名称: openssl-ssl3-masterkey-bo(9715)
链接:http://www.iss.net/security_center/static/9715.php

来源: CONECTIVA
名称: CLA-2002:513
链接:http://distro.conectiva.com.br/atualizacoes/?id=a&anuncio=000513

来源: FREEBSD
名称: FreeBSD-SA-02:33
链接:ftp://ftp.freebsd.org/pub/FreeBSD/CERT/advisories/FreeBSD-SA-02:33.openssl.asc

来源: CALDERA
名称: CSSA-2002-033.1
链接:ftp://ftp.caldera.com/pub/security/OpenLinux/CSSA-2002-033.1.txt

来源: CALDERA
名称: CSSA-2002-033.0
链接:ftp://ftp.caldera.com/pub/security/OpenLinux/CSSA-2002-033.0.txt