Бесплатно Экспресс-аудит сайта:

17.10.2014

Разработчики OpenSSL исправили четыре опасные уязвимости

Разработчики OpenSSL в последнем релизе популярной криптографической библиотеки исправили четыре уязвимости. Две из них связаны с  POODLE , еще две вызывали утечки памяти и давали возможность осуществить DoS-атаку. Исправления вышли в среду, 15 октября.

Одна из наиболее опасных  уязвимостей , исправленная разработчиками, связана с реализацией протокола SRTP. Хакер может использовать модифицированное сообщение рукопожатия SRTP, вследствие чего сервер не сможет выделить клиенту достаточное количество памяти. В результате возникнет серьезное снижение производительности или падение сервера. Ошибка существует лишь в OpenSSL 1.0.1. Для того чтобы исправить ее, следует загрузить обновление для OpenSSL или скомпилировать библиотеки с параметром OPENSSL_NO_SRTP.

Вторая  брешь  затрагивает OpenSSL 0.9.8 и более новые версии. Она возникает, когда сервер не может выделить свободную память при получении неверного мандата сеанса TLS-сессии. Как и в случае с первой уязвимостью, хакер может вызвать аварийное завершение работы сервера при массовой отсылке неверных мандатов сеанса TLS-сессии.

В обновлении также предлагаются два способа обхода уязвимости POODLE. Первый добавляет поддержку TLS_FALLBACK_SCSV, благодаря чему в случае ошибки при использовании TLS сервер не будет использовать устаревшую версию SSL. Второй способ исправляет специфическую  ошибку  в OpenSSL, которая позволяла клиентам и серверам выполнять рукопожатия SSL 3.0 даже в случае, если скомпилированные библиотеки не поддерживали SSL 3.0.

Обновления доступны для OpenSSL 0.9.8zc, 1.0.0o и 1.0.1j.

С содержимым бюллетеня безопасности OpenSSL можно ознакомиться здесь .