2. 질의 응답
  3. OpenSSL 0.9.8h는 CVE-2014-0195의 영향을 받습니까?

OpenSSL 0.9.8h는 CVE-2014-0195의 영향을 받습니까?

2014-06-09 2 views
0

OpenSSL 098h가 CVE-2014-0195의 영향을 받는지 알아 내기 위해 시간을 보냈습니다.하지만이 질문에 답하기 위해 전체 파일 d1_both.c을 이해해야합니다.OpenSSL 0.9.8h는 CVE-2014-0195의 영향을 받습니까?

1) 0.9.8h처럼 모든 조각 재 조립 작업이 추가되었으므로 0.9.8h는 위의 CVE에 취약하지 않습니다. 그리고이 패치는 모두 조각 재 조립에 관한 것입니다.

함수 dtls1_reassembly_fragment은() 098h에없는, 그래서 하나는 우리가 괜찮 가정 할 수

2) 그러나 버그에 대한 '단편의 길이에 대해 '단편의 실제 크기를 '확인되지 자세히 살펴보면 쇼 조각의 헤더에 저장 '

나는 코드 흐름을 이해하는 동안 계속 도움이된다.

출처

2014-06-09 dpb

+0

가 어떻게 098h의 상단에이 취약점에 대한 수정 프로그램을받을 수 있나요 영향을 받습니까? – dpb

+0

무엇이 최신 0.9.8로 업그레이드하지 못하게합니까? 모든 좋은 배포판에는 보안 업데이트가 있어야합니다. – ekcr1

+0

레거시 코드는 래핑 한 후 OpenSSL API를 사용합니다. (포장지가 작성된) 원칙을 고수하면서 OpenSSL 최신 버전으로 전환하는 것은 큰 작업이 될 것입니다. – dpb

답변

0

https://www.openssl.org/news/vulnerabilities.html은 2014 년 6 월 23 일에 게시되었다. OpenSSL 0.9.8h는 CVE-2014-0195의 영향을받지 않습니다. 나는 그것을 위해 패치를 가지고있는 098za로 업그레이드하지 않으려면

만은 OpenSSL 버전 0.9.8o & 위

출처

2014-06-24 07:15:55 dpb

1

http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0195에 따르면 0.9.8h는 취약한 버전입니다. 나는 아마도 내 코드 내포 기술보다 조언을 더 많이 믿을 것이다.

출처

2014-06-09 12:29:49 ekcr1

+0

OpenSSL의이 메모는 0.9라고 주장합니다. 8e는 영향을 받지만 RedHat 주에서는 모순적인 성명서 098e가 영향을받지 않는다는 점에 유의하십시오. – dpb

+0

토마스 헤거 (Thomas Hager) – dpb

+0

https://bugzilla.redhat.com/show_bug.cgi?id=1103598 – dpb

관련 문제

 관련 문제