OpenSSL CVE-2014-3508: ¿qué se puede leer?

0

Según el anuncio de OpenSSL para CVE-2014-3508 , La información confidencial se puede leer de la pila.

  

La función OBJ_obj2txt en crypto / objects / obj_dat.c en OpenSSL 0.9.8 antes de 0.9.8zb, 1.0.0 antes de 1.0.0n, y 1.0.1 antes de 1.0.1i, cuando se usa una impresión bonita, no garantiza la presencia de caracteres '\ 0', que permite a los atacantes dependientes del contexto obtener información confidencial de la memoria de la pila de proceso leyendo la salida de X509_name_oneline, X509_name_print_ex, y otras funciones no especificadas.

Nada de lo que he encontrado parece tener más información.

¿Qué información sensible se puede leer? Con el corazón abierto, la clave privada podría (eventualmente) ser leída. ¿Se puede leer la clave privada con los bonitos desbordamientos de la función de impresión? ¿Qué otra información confidencial ha sido confirmada?

    
pregunta user55292 10.09.2014 - 19:17
fuente

0 respuestas

Lea otras preguntas en las etiquetas