The Dutch HackInfo

Information about Hacking, Security & Tweaking

1 1 1 1 1 1 1 1 1 1 Rating 5.00 (1 Vote)

sslOpenSSL heeft een patch uitgebracht voor een kritiek lek dat er mogelijk voor kan zorgen dat een aanvaller op afstand code kan uitvoeren. De kwetsbaarheid werd volgens het OpenSSL-team geïntroduceerd door een recente patch.

OpenSSL heeft maandag in een security advisory laten weten dat de kwetsbaarheid alleen voorkomt in versie 1.1.0a van de software. Daarom zouden gebruikers die de update nog niet hebben uitgevoerd meteen van versie 1.1.0 naar 1.1.0b moeten updaten. Het lek, met kenmerk cve-2016-6309, treedt op doordat de software een buffer verplaatst als er een bericht van meer dan 16k wordt ontvangen. In de vrijgemaakte ruimte zou vervolgens een aanvaller met een achtergebleven pointer kunnen schrijven. Dit zou kunnen leiden tot het uitvoeren van willekeurige code.

Het OpenSSL-team had vorige week een patch uitgebracht voor een lek dat het op afstand uitvoeren van code mogelijk maakte. Deze kwetsbaarheid werd door het team ingeschat als een variant met 'hoog' risico. Het door de patch geïntroduceerde lek is daarentegen aangemerkt als 'kritiek'. Dit is de ernstigste categorie. Het team zegt het bericht zonder de gebruikelijke voorafgaande notificatie uitgebracht te hebben vanwege de ernst ervan. OpenSSL heeft Robert Święcki van Googles beveiligingsteam genoemd als de ontdekker van het lek.

Bron: Tweakers.net

You have no rights to post comments


Copyright © 2020. All Rights Reserved.