漏洞信息详情

Offspark PolarSSL 远程代码执行漏洞

• CNNVD编号：CNNVD-201501-631
• 危害等级： 高危
  
• CVE编号： CVE-2015-1182
• 漏洞类型：
• 发布时间： 2015-01-27
• 威胁类型： 远程
• 更新时间： 2015-01-28
• 厂        商： polarssl
• 漏洞来源： Certified Secure

漏洞简介

Offspark PolarSSL是荷兰Offspark公司的一个SSL加密库。该库具有便于移植和集成的特点。

Offspark PolarSSL 1.0版本至1.2.12版本和1.3.x版本至1.3.9版本的library/asn1parse.c文件中的‘asn1_get_sequence_of’函数存在安全漏洞，该漏洞源于程序没有正确初始化asn1_sequence链表中的指针。远程攻击者可借助证书中特制的ASN.1序列利用该漏洞造成拒绝服务（崩溃），或执行任意代码。

漏洞公告

目前厂商已经发布了升级补丁以修复此安全问题，补丁获取链接：

https://polarssl.org/tech-updates/security-advisories/polarssl-security-advisory-2014-04

参考网址

来源:polarssl.org

链接:https://polarssl.org/tech-updates/security-advisories/polarssl-security-advisory-2014-04

来源:DEBIAN

链接:http://www.debian.org/security/2015/dsa-3136

来源:SECUNIA

链接:http://secunia.com/advisories/62610

来源:SECUNIA

链接:http://secunia.com/advisories/62270

来源: BID

链接:http://www.securityfocus.com/bid/72306

受影响实体

• Polarssl Polarssl:1.3.5  
• Polarssl Polarssl:1.3.6  
• Polarssl Polarssl:1.3.7  
• Polarssl Polarssl:1.3.8  
• Polarssl Polarssl:1.3.9  

补丁

• library-asn1parse.c