Het probleem treedt in ieder geval op in OpenSSL versies 0.9.7l en 0.9.8d. Deze software wordt vooral gebruikt op open-sourceplatformen en komt veel voor in combinatie met de Apache webserver. Het probleem treedt op als aanvallers een IP-pakket opsturen dat net een byte kleiner is dan verwacht. De fout zit in een vergelijking, waarbij de computer kijkt naar kleiner of gelijk aan in plaats naar een exacte omvang.

Hierdoor biedt het systeem aanvallers de kans om niet-geautoriseerde toegang tot een systeem te krijgen. Afhankelijk van de inrichting van het systeem kan bij misbruik de mogelijkheid bestaan om toegang tot bestanden te krijgen of de werking van systemen negatief te beïnvloeden.

Het probleem is ontdekt door beveiligingsonderzoekers van Google en in Juni aangemeld. Inmiddels is het lek gedicht en zijn nieuwe 0.9.7n en 0.9.8e versies beschikbaar. Diverse Linux-distributies hebben de patches ook via hun systeem aan de gebruikers beschikbaar gesteld. Het probleem is bekend als CVE 5135.

Bron: Techworld