Onderzoekers van Qualys wilden een van afstand uitvoerbare code loslaten op de nieuwste versie van OpenSMTPD (een onderdeel van het OpenBSD-project voor een Unix-serverside mailprotocol) om te zien of eerder gevonden kwetsbaarheden nog bestonden.

Nadat dat niet lukte met OpenSMTPD zelf, bleek de nadere bestudering van de code van de libraries waarvan het mailprotocol gebruikmaakt een geheugenlek in LibreSSL op te leveren. En weer daaraan verbonden een buffer overflow.

DoS-aanval mogelijk op server

Volgens de onderzoekers maakt het geheugenlek een DoS-aanval op de server mogelijk, met tevens de mogelijkheid de buffer overflow te starten. Wel tekenen de onderzoekers aan dat het lek waarschijnlijk niet te misbruiken is op OpenBSD x86 omdat de stack dat verhindert.

The Register meldt dat het team van LibreSSL werkt aan een oplossing voor CVE-2015-5333 en CVE-2015-5334, zoals de kwetsbaarheden nu geregistreerd staan.

Update 11.55: In de kop werd abusievelijk gesproken van OpenSSL, het artikel gaf wel juist weer dat het gaat om LibreSSL