Podatności i aktualizacje do produktów firmy PHOENIX CONTACT (P24-192)

utworzone przez | cze 12, 2024 | ICS

ProduktFL MGUARD 1102 wersje < 1.8.0
FL MGUARD 1105 wersje < 1.8.0
Numer CVECVE-2024-2511
Krytyczność7.5/10
CVSSAV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
OpisNiektóre konfiguracje serwera TLS inne niż domyślne mogą powodować nieograniczony wzrost pamięci podczas przetwarzania sesji TLSv1.3 Podsumowanie wpływu: osoba atakująca może wykorzystać określone konfiguracje serwera w celu wywołania nieograniczonego wzrostu pamięci, co doprowadziłoby do odmowy usługi. Ten problem może wystąpić w przypadku protokołu TLSv1.3, jeśli używana jest inna niż domyślna opcja SSL_OP_NO_TICKET (ale nie, jeśli skonfigurowana jest także obsługa Early_data i używane jest domyślne zabezpieczenie przed powtórzeniem). W takim przypadku, pod pewnymi warunkami, pamięć podręczna sesji może przejść do nieprawidłowego stanu i nie będzie prawidłowo opróżniana podczas zapełniania. Pamięć podręczna sesji będzie nadal rosła w nieograniczony sposób. Złośliwy klient może celowo stworzyć scenariusz braku wymuszenia ataku typu „odmowa usługi”. Może się to również zdarzyć przypadkowo podczas normalnej pracy. Ten problem dotyczy tylko serwerów TLS obsługujących TLSv1.3. Nie ma to wpływu na klientów TLS. Ten problem nie dotyczy modułów FIPS w wersjach 3.2, 3.1 i 3.0. Problem ten nie dotyczy również OpenSSL 1.0.2.
  
AktualizacjaTAK
Linkhttps://cert.vde.com/en/advisories/VDE-2024-029/