Бесплатно Экспресс-аудит сайта:

08.08.2014

В обновлении OpenSSL исправлено девять уязвимостей

В среду, 6 августа 2014 года, было выпущено обновление для криптографического пакета OpenSSL. В нем были исправлены  девять уязвимостей , обнаруженных при исследовании исходного кода программы.

В бюллетене безопасности  указывается , что все исправленные бреши были обнаружены в июне-июле этого года благодаря сообщениям от Google, Codenomicon, NCC Group и LogMeIn.

Обновление исправляет ряд проблем, возникающих при атаке «отказ в обслуживании», вследствие которых программа прекращала работать. При этом OpenSSL начинал потреблять слишком много памяти. Подобный сценарий также мог вызвать утечку информации.

После обнаружения уязвимости Heartbleed исходный код OpenSSL неоднократно подвергался интенсивному анализу. Благодаря этому удалось исправить значительное количество уязвимостей и в целом увеличить безопасность приложения. К примеру, одно из обновлений исправляет ошибку, вследствие которой OpenSSL переходил на протокол TLS 1.0, использовавшийся еще 15 лет назад. Она возникала, когда фрагментированное сообщение “ClientHello” отправлялось серверу, находящемуся под атакой «человек посередине».