AW: OpenSSL Updaten

From: Maul Carsten 0120 <Carsten.Maul(at)gtz.de>
Date: Thu, 1 Aug 2002 10:46:57 +0200



Soweit ich weiss ist jedes Programm betroffen das einen SSLv2 oder SSLv3 Handshake macht.



   VU#102795 - OpenSSL servers contain a buffer overflow during the SSLv2


   handshake process



     Versions of OpenSSL servers prior to 0.9.6e and pre-release version


     0.9.7-beta2   contain   a   remotely  exploitable  buffer  overflow


     vulnerability.  This  vulnerability  can  be  exploited by a client


     using  a  malformed  key  during  the handshake process with an SSL


     server  connection.  Note  that  only  SSLv2-supported sessions are


     affected by this issue.



     This issue is also being referenced as CAN-2002-0656.



   VU#258555 - OpenSSL clients contain a buffer overflow during the SSLv3


   handshake process



     OpenSSL clients using SSLv3 prior to version 0.9.6e and pre-release


     version  0.9.7-beta2  contain  a  buffer  overflow vulnerability. A


     malicious  server can exploit this by sending a large session ID to


     the client during the handshake process.



     This issue is also being referenced as CAN-2002-0656.



Es gibt da noch andere Bugs in der 0.9.6d, aber ich denke mal die beiden oberen


werden bei einigen Programmen exploitable sein.



Ich gehe jetzt mal davon aus das OpenSSH davon auch betroffen ist, besser


vorsichtig sein :-)


ssh scans kommen bei meinen Servern alle paar Tage mal vor...



> -----Ursprüngliche Nachricht-----


> Von: Joerg Wunsch [mailto:j(at)uriah.heep.sax.de] 


> Gesendet: Mittwoch, 31. Juli 2002 21:55


> An: de-bsd-questions(at)de.freebsd.org


> Betreff: Re: OpenSSL Updaten


> 


> 


> As Oliver Fromme wrote:


> 


> > Das CERT gibt Empfehlungen, keine Anweisungen.  :-)


> > 


> > But seriously ...  openssl 0.9.6e ist schon seit gestern in 


> -current 


> > und seit wenigen Stunden auch in -stable.


> 


> Ist die Nutzung der OpenSSL-Lib durch OpenSSH eigentlich von 


> den Bugs überhaupt betroffen oder nicht?


> 


> -- 


> cheers, J"org               .-.-.   --... ...--   -.. .  DL8DTL


> 


http://www.sax.de/~joerg/                        NIC: JW11-RIPE


Never trust an operating system you don't have sources for. ;-)



To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org


with "unsubscribe de-bsd-questions" in the body of the message



To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org


with "unsubscribe de-bsd-questions" in the body of the message


Received on Thu 01 Aug 2002 - 10:47:36 CEST













search this site