news/secadv/20040317.txt

   1 OpenSSL Security Advisory [17 March 2004]
   2
   3 Updated versions of OpenSSL are now available which correct two
   4 security issues:
   5
   6
   7 1. Null-pointer assignment during SSL handshake
   8 ===============================================
   9
  10 Testing performed by the OpenSSL group using the Codenomicon TLS Test
  11 Tool uncovered a null-pointer assignment in the
  12 do_change_cipher_spec() function.  A remote attacker could perform a
  13 carefully crafted SSL/TLS handshake against a server that used the
  14 OpenSSL library in such a way as to cause OpenSSL to crash.  Depending
  15 on the application this could lead to a denial of service.
  16
  17 The Common Vulnerabilities and Exposures project (cve.mitre.org) has
  18 assigned the name CAN-2004-0079 to this issue.
  19
  20 All versions of OpenSSL from 0.9.6c to 0.9.6l inclusive and from
  21 0.9.7a to 0.9.7c inclusive are affected by this issue.  Any
  22 application that makes use of OpenSSL's SSL/TLS library may be
  23 affected.  Please contact your application vendor for details.
  24
  25
  26 2. Out-of-bounds read affects Kerberos ciphersuites
  27 ===================================================
  28
  29 Stephen Henson discovered a flaw in SSL/TLS handshaking code when
  30 using Kerberos ciphersuites.  A remote attacker could perform a
  31 carefully crafted SSL/TLS handshake against a server configured to use
  32 Kerberos ciphersuites in such a way as to cause OpenSSL to crash.
  33 Most applications have no ability to use Kerberos ciphersuites and
  34 will therefore be unaffected.
  35
  36 The Common Vulnerabilities and Exposures project (cve.mitre.org) has
  37 assigned the name CAN-2004-0112 to this issue.
  38
  39 Versions 0.9.7a, 0.9.7b, and 0.9.7c of OpenSSL are affected by this
  40 issue.  Any application that makes use of OpenSSL's SSL/TLS library
  41 may be affected.  Please contact your application vendor for details.
  42
  43 Recommendations
  44 ---------------
  45
  46 Upgrade to OpenSSL 0.9.7d or 0.9.6m.  Recompile any OpenSSL applications
  47 statically linked to OpenSSL libraries.
  48
  49 OpenSSL 0.9.7d and OpenSSL 0.9.6m are available for download via HTTP and
  50 FTP from the following master locations (you can find the various FTP
  51 mirrors under http://www.openssl.org/source/mirror.html):
  52
  53     ftp://ftp.openssl.org/source/
  54
  55 The distribution file names are:
  56
  57     o openssl-0.9.7d.tar.gz
  58       MD5 checksum: 1b49e90fc8a75c3a507c0a624529aca5
  59
  60     o openssl-0.9.6m.tar.gz [normal]
  61       MD5 checksum: 1b63bfdca1c37837dddde9f1623498f9
  62     o openssl-engine-0.9.6m.tar.gz [engine]
  63       MD5 checksum: 4c39d2524bd466180f9077f8efddac8c
  64
  65 The checksums were calculated using the following command:
  66
  67     openssl md5 openssl-0.9*.tar.gz
  68
  69 Credits
  70 -------
  71
  72 Patches for these issues were created by Dr Stephen Henson
  73 (steve@openssl.org) of the OpenSSL core team.  The OpenSSL team would
  74 like to thank Codenomicon for supplying the TLS Test Tool which was
  75 used to discover these vulnerabilities, and Joe Orton of Red Hat for
  76 performing the majority of the testing.
  77
  78 References
  79 ----------
  80
  81 http://www.codenomicon.com/testtools/tls/
  82 http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-0079
  83 http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-0112
  84
  85 URL for this Security Advisory:
  86 http://www.openssl.org/news/secadv_20040317.txt
  87
  88