hne
Joined: 11 Jul 2008 Posts: 210 Location: Hannover
|
Posted: 21.03.2022, 16:50 Post subject: CVE-2022-0778 BN_mod_sqrt im DNP/9265 |
|
|
Der DIL/NetPC DNP/9265 ist von der Schwachstelle CVE-2022-0778 in der Funktion BN_mod_sqrt() betroffen.
Wie in der Beschreibung erwähnt wird, könnte ein Angreifer mit einem entsprechend präparierten Client-Zertifikat den Prozess im Gerät in eine Endlosschleife versetzen. Betroffen davon sind alle Dienste, die ein Zertifikat vom Client annehmen, z.B. HTTPS-WebServer, MQTT-Server usw.
Folgende Versionen für die Bibliothek openssl stehten bei SSV für den DNP/9265 zur Verfügung.
- OpenSSL 0.9.8zf-ssv1_armv5te
- OpenSSL 1.0.2u-ssv1_armv5te
Den Zugang zum Download-Bereich erfragen Sie bitte über unseren Vertrieb.
Um zu prüfen, ob die openssl Bibliothek aktualisiert wurde, ruft man openssl version an der Console auf. Dort sollte das Jahr 2022 erscheinen, z.B.:
Code: | # openssl version
OpenSSL 0.9.8zf 18 Mar 2022 |
Einige Server- und Client-Prozesse, wie openvpn zeigen die Version des openssl im Syslog.
Weitere Hinweise:
https://nvd.nist.gov/vuln/detail/CVE-2022-0778
https://www.openssl.org/news/secadv/20220315.txt _________________ Henry Nestler |
|