VULHUB ™

OpenSSL是OpenSSL团队开发的一个开源的能够实现安全套接层（SSL v2/v3）和安全传输层（TLS v1）协议的通用加密库，它支持多种加密算法，包括对称密码、哈希算法、安全散列算法等。 OpenSSL中的ASN.1解析代码存在多个问题，远程攻击者可以利用这个漏洞对系统进行拒绝服务攻击或执行任意代码。 漏洞问题如下： 1、部分ASN.1编码被解析器会由于非法而拒绝，当处理对应的数据结构时会触发错误而破坏堆栈，这可用于远程拒绝服务。目前还不清楚是否可用于执行任意代码。此漏洞不影响OpenSSL 0.9.6版本。 2、不正确ASN.1标记值可在部分条件下引起读取非法边界值(整数溢出问题)，可导致拒绝服务漏洞。 3、如果设置成忽略公钥解码错误，证书中包含畸形公钥会引起服务崩溃。公钥解码错误一般不忽略(除非在调试情况下)。目前还不清楚是否可利用执行任意代码。 4、由于在SSL/TLS协议处理上存在错误，当没有指定请求时服务器也会解析客户端证书。这严格的来说不是一个漏洞，但是这意味着使用OpenSSL的SSL/TLS服务器可使用漏洞1，2，3进行攻击，即使没有启用客户端验证的情况下。

OpenSSL是OpenSSL团队开发的一个开源的能够实现安全套接层（SSL v2/v3）和安全传输层（TLS v1）协议的通用加密库，它支持多种加密算法，包括对称密码、哈希算法、安全散列算法等。 OpenSSL中的ASN.1解析代码存在多个问题，远程攻击者可以利用这个漏洞对系统进行拒绝服务攻击或执行任意代码。 漏洞问题如下： 1、部分ASN.1编码被解析器会由于非法而拒绝，当处理对应的数据结构时会触发错误而破坏堆栈，这可用于远程拒绝服务。目前还不清楚是否可用于执行任意代码。此漏洞不影响OpenSSL 0.9.6版本。 2、不正确ASN.1标记值可在部分条件下引起读取非法边界值(整数溢出问题)，可导致拒绝服务漏洞。 3、如果设置成忽略公钥解码错误，证书中包含畸形公钥会引起服务崩溃。公钥解码错误一般不忽略(除非在调试情况下)。目前还不清楚是否可利用执行任意代码。 4、由于在SSL/TLS协议处理上存在错误，当没有指定请求时服务器也会解析客户端证书。这严格的来说不是一个漏洞，但是这意味着使用OpenSSL的SSL/TLS服务器可使用漏洞1，2，3进行攻击，即使没有启用客户端验证的情况下。