Confira !!
O pacote openssl antes da versão 1.1.1.g-1 é vulnerável à negação de serviço.
Comunicado de Segurança do Arch Linux ASA-202004-18
==========================================
Gravidade: alta
Data: 2020-04-21
CVE-ID: CVE-2020-1967
Pacote: openssl
Tipo: negação de serviço
Remoto: Sim
Link: https://security.archlinux.org/AVG-1139
Sumário
=======
O pacote openssl antes da versão 1.1.1.g-1 é vulnerável à negação de
serviço.
Resolução
==========
Atualize para 1.1.1.g-1.
# pacman -Syu "openssl> = 1.1.1.g-1"
O problema foi corrigido na versão 1.1.1.g.
Gambiarra
==========
Nenhum.
Descrição
===========
Uma dereferência de ponteiro NULL foi encontrada nas versões 1.1.1d do OpenSSL,
1.1.1e 1.1.1f. Aplicativos de servidor ou cliente que chamam o
A função SSL_check_chain () durante ou após um handshake TLS 1.3 pode
falha devido a uma desreferência de ponteiro NULL como resultado de uma operação incorreta
manipulação da extensão TLS "signature_algorithms_cert". O acidente
ocorre se um algoritmo de assinatura inválido ou não reconhecido for recebido
do par. Isso pode ser explorado por um par malicioso em uma negação
ataque de serviço.
Impacto
======
Um servidor ou cliente mal-intencionado pode travar um processo openssl / libssl ao
fornecendo um handshake SSL criado com códigos maliciosos
Referências
==========
https://www.openssl.org/news/secadv/20200421.txt
https://github.com/openssl/openssl/commit/eb563247aef3e83dda7679c43f9649270462e5b1
https://security.archlinux.org/CVE-2020-1967
Fonte
Até a próxima !!
Nenhum comentário:
Postar um comentário