Vigil@nce - OpenSSL : déni de service via SSL3_AL_WARNING
décembre 2016 par Vigil@nce
Ce bulletin a été rédigé par Vigil@nce : https://vigilance.fr/offre
SYNTHÈSE DE LA VULNÉRABILITÉ
Un attaquant peut envoyer des paquets SSL3_AL_WARNING vers une
application SSLv3 liée à OpenSSL, afin de mener un déni de
service.
Produits concernés : FreeBSD, OpenSSL, Solaris, Shibboleth SP,
Splunk Enterprise, stunnel.
Gravité : 2/4.
Date création : 24/10/2016.
DESCRIPTION DE LA VULNÉRABILITÉ
Le produit OpenSSL implémente le protocole SSL version 3.
Le message SSL3_AL_WARNING est utilisé pour émettre une alerte
de niveau Warning. Cependant, lorsque ces paquets sont reçus
durant le handshake, la bibliothèque consomme 100% de CPU.
Un attaquant peut donc envoyer des paquets SSL3_AL_WARNING vers
une application SSLv3 liée à OpenSSL, afin de mener un déni de
service.
ACCÈS AU BULLETIN VIGIL@NCE COMPLET
https://vigilance.fr/vulnerabilite/OpenSSL-deni-de-service-via-SSL3-AL-WARNING-20941