Обновление OpenSSL 1.1.0h и 1.0.2o с устранением уязвимостей

28 марта 2018 года

Доступны корректирующие выпуски криптографической библиотеки OpenSSL 1.0.2o и 1.1.0h, в которых устранены три уязвимости, из которых одна отмечена как неопасная (CVE-2017-3738), а две (CVE-2018-0739, CVE-2018-0733) отнесены к категории проблем среднего уровня опасности.

  • CVE-2018-0739 - обработка рекурсивных структур в ASN.1 (например, применяются в PKCS7) может привести к переполнению стека и отказу в обслуживании при обработке определённым образом оформленных входных данных. Проблема не затрагивает SSL/TLS;
  • CVE-2018-0733 - ошибка в реализации функции CRYPTO_memcmp для архитектуры HP-UX PA-RISC приводит к участию в сравнении только одного старшего бита для каждого байта. Проблему можно использовать для формирования подставных сообщений, которые будут обрабатываться как аутентифицированные;
  • CVE-2017-3738 - переполнение в процедуре rsaz_1024_mul_avx2. Проблема проявляется только на системах x86_64 с поддержкой инструкций AVX2, но без расширений ADX (например, Intel Haswell). Проблема не затрагивает алгоритмы на основе эллиптических кривых и потенциально может применяться для атаки на DH1024, RSA и DSA, но очень трудна в эксплуатации и требует значительных ресурсов.

Дополнительно можно отметить уязвимость в библиотеке WolfSSL (ранее CyaSSL), которая устранена в версии 3.13.0. Проблема вызвана переполнением буфера в коде разбора списка алгоритмов хэширования, передаваемом в пакете ClientHello, и может быть использована для вызова краха серверного процесса при указании более 32 алгоритмов хэширования.

Источники

править


 
 
Creative Commons
Эта статья содержит материалы из статьи «Обновление OpenSSL 1.1.0h и 1.0.2o с устранением уязвимостей», опубликованной OpenNET и распространяющейся на условиях лицензии Creative Commons Attribution (CC BY) — указание автора, источник и лицензию.
 
Эта статья загружена автоматически ботом NewsBots в архив и ещё не проверялась редакторами Викиновостей.
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.

Комментарии

Викиновости и Wikimedia Foundation не несут ответственности за любые материалы и точки зрения, находящиеся на странице и в разделе комментариев.