Soweit ich weiss ist jedes Programm betroffen das einen SSLv2 oder SSLv3 Handshake macht.
VU#102795 - OpenSSL servers contain a buffer overflow during the SSLv2
handshake process
Versions of OpenSSL servers prior to 0.9.6e and pre-release version
0.9.7-beta2 contain a remotely exploitable buffer overflow
vulnerability. This vulnerability can be exploited by a client
using a malformed key during the handshake process with an SSL
server connection. Note that only SSLv2-supported sessions are
affected by this issue.
This issue is also being referenced as CAN-2002-0656.
VU#258555 - OpenSSL clients contain a buffer overflow during the SSLv3
handshake process
OpenSSL clients using SSLv3 prior to version 0.9.6e and pre-release
version 0.9.7-beta2 contain a buffer overflow vulnerability. A
malicious server can exploit this by sending a large session ID to
the client during the handshake process.
This issue is also being referenced as CAN-2002-0656.
Es gibt da noch andere Bugs in der 0.9.6d, aber ich denke mal die beiden oberen
werden bei einigen Programmen exploitable sein.
Ich gehe jetzt mal davon aus das OpenSSH davon auch betroffen ist, besser
vorsichtig sein :-)
ssh scans kommen bei meinen Servern alle paar Tage mal vor...
> -----Ursprüngliche Nachricht-----
> Von: Joerg Wunsch [mailto:j(at)uriah.heep.sax.de]
> Gesendet: Mittwoch, 31. Juli 2002 21:55
> An: de-bsd-questions(at)de.freebsd.org
> Betreff: Re: OpenSSL Updaten
>
>
> As Oliver Fromme wrote:
>
> > Das CERT gibt Empfehlungen, keine Anweisungen. :-)
> >
> > But seriously ... openssl 0.9.6e ist schon seit gestern in
> -current
> > und seit wenigen Stunden auch in -stable.
>
> Ist die Nutzung der OpenSSL-Lib durch OpenSSH eigentlich von
> den Bugs überhaupt betroffen oder nicht?
>
> --
> cheers, J"org .-.-. --... ...-- -.. . DL8DTL
>
http://www.sax.de/~joerg/ NIC: JW11-RIPE
Never trust an operating system you don't have sources for. ;-)
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message
Received on Thu 01 Aug 2002 - 10:47:36 CEST