Memory leak in d1_srtp.c in the DTLS SRTP extension in OpenSSL 1.0.1 before 1.0.1j allows remote attackers to cause a denial-of-service (memory consumption) via a crafted handshake message.
Per ulteriori informazioni, consultare la sezione:
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-3513.
Per la risposta McAfee, Vedi:
SB10091 -Bollettino sulla sicurezza-tre vulnerabilità SSLv3.
CVE-2014-3566
Protocollo SSL 3.0, come utilizzato in OpenSSL tramite 1.0.1i e altri prodotti, utilizza imbottitura CBC non deterministica. Questo tipo di imbottitura facilita l'ottenimento di dati non crittografati da parte di aggressori Man-in-the-Middle mediante un attacco Oracle di Padding, come il problema del barboncino.
Per ulteriori informazioni, consultare la sezione:
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-3566.
Per la risposta McAfee, consultare
SB10090 -Bollettino sulla sicurezza-vulnerabilità barboncino.
CVE-2014-3567
Perdita di memoria nella funzione tls_decrypt_ticket in t1_lib. c in OpenSSL prima 0.9.8ZC 1.0.0 prima 1.0.0o e 1.0.1 prima 1.0.1j consente agli aggressori remoti di causare un Denial-of-Service (consumo di memoria). Il Denial-of-Service è causato da una sessione creata ticket che attiva un errore di verifica dell'integrità.
Per ulteriori informazioni, consultare la sezione:
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-3567.
Per la risposta McAfee, Vedi:
SB10091 -Bollettino sulla sicurezza-tre vulnerabilità SSLv3.
CVE-2014-3568
OpenSSL prima 0.9.8ZC 1.0.0 prima 1.0.0o e 1.0.1 prima 1.0.1j non applica correttamente l'opzione No-SSL3 build. Questo fatto consente agli aggressori remoti di aggirare le limitazioni di accesso previste tramite un SSL 3.0 stretta di mano, correlata a s23_clnt. c e s23_srvr. c.
Per ulteriori informazioni, consultare la sezione:
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-3568.
Per la risposta McAfee, Vedi:
SB10091 -Bollettino sulla sicurezza-tre vulnerabilità SSLv3.