漏洞信息详情
Offspark PolarSSL 远程代码执行漏洞
- CNNVD编号:CNNVD-201501-631
- 危害等级: 高危
- CVE编号: CVE-2015-1182
- 漏洞类型:
- 发布时间: 2015-01-27
- 威胁类型: 远程
- 更新时间: 2015-01-28
- 厂 商: polarssl
- 漏洞来源: Certified Secure
漏洞简介
Offspark PolarSSL是荷兰Offspark公司的一个SSL加密库。该库具有便于移植和集成的特点。
Offspark PolarSSL 1.0版本至1.2.12版本和1.3.x版本至1.3.9版本的library/asn1parse.c文件中的‘asn1_get_sequence_of’函数存在安全漏洞,该漏洞源于程序没有正确初始化asn1_sequence链表中的指针。远程攻击者可借助证书中特制的ASN.1序列利用该漏洞造成拒绝服务(崩溃),或执行任意代码。
漏洞公告
目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
https://polarssl.org/tech-updates/security-advisories/polarssl-security-advisory-2014-04
参考网址
来源:polarssl.org
链接:https://polarssl.org/tech-updates/security-advisories/polarssl-security-advisory-2014-04
来源:DEBIAN
链接:http://www.debian.org/security/2015/dsa-3136
来源:SECUNIA
链接:http://secunia.com/advisories/62610
来源:SECUNIA
链接:http://secunia.com/advisories/62270
来源: BID
链接:http://www.securityfocus.com/bid/72306
受影响实体
- Polarssl Polarssl:1.3.5
- Polarssl Polarssl:1.3.6
- Polarssl Polarssl:1.3.7
- Polarssl Polarssl:1.3.8
- Polarssl Polarssl:1.3.9
补丁
- library-asn1parse.c
评论