Memory leak in d1_srtp.c in the DTLS SRTP extension in OpenSSL 1.0.1 before 1.0.1j allows remote attackers to cause a denial-of-service (memory consumption) via a crafted handshake message.
Para obter mais informações, consulte:
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-3513.
Para obter a resposta da McAfee, consulte:
SB10091 -Boletim de segurança-três vulnerabilidades do SSLv3.
CVE-2014-3566
Protocolo SSL 3.0, conforme usado no OpenSSL a 1.0.1i e outros produtos, o usa o preenchimento de CBC não determinístico. Esse preenchimento torna mais fácil para os invasores Man-in-the-Middle obterem dados de texto não criptografado por meio de um ataque de Oracle de preenchimento, como o problema de POODLE.
Para obter mais informações, consulte:
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-3566.
Para obter a resposta da McAfee, consulte
SB10090 -Boletim de segurança-vulnerabilidade de POODLE.
CVE-2014-3567
Vazamento de memória na função tls_decrypt_ticket no t1_lib. c no OpenSSL antes 0.9.8zc, 1.0.0 após 1.0.0o, e 1.0.1 após 1.0.1j permite que atacantes remotos causem uma negação de serviço (consumo de memória). A negação de serviço é causada por uma permissão de seção criada que dispare uma falha de verificação de integridade.
Para obter mais informações, consulte:
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-3567.
Para obter a resposta da McAfee, consulte:
SB10091 -Boletim de segurança-três vulnerabilidades do SSLv3.
CVE-2014-3568
OpenSSL antes 0.9.8zc, 1.0.0 após 1.0.0o, e 1.0.1 após 1.0.1j não impõe corretamente a opção de compilação não-SSL3. Esse fato permite que atacantes remotos ignorem as restrições de acesso pretendidas por meio de um SSL. 3.0 Handshake, relacionado a s23_clnt. c e s23_srvr. c.
Para obter mais informações, consulte:
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-3568.
Para obter a resposta da McAfee, consulte:
SB10091 -Boletim de segurança-três vulnerabilidades do SSLv3.