Критическая уязвимость в криптографической библиотеке PolarSSL

19 января 2015 года

В развиваемой компанией ARM свободной крипографической библиотеке PolarSSL выявлена (Архивная копия от 9 февраля 2015 на Wayback Machine) критическая уязвимость (CVE-2015-1182), которая потенциально может привести к выполнению кода злоумышленника при обработке средствами библиотеки специально оформленных последовательностей ASN.1 из сертификатов X.509. Проблема может проявляться в серверных и клиентских приложениях, использующих PolarSSL при организации шифрованного канала связи c подконтрольным злоумышленнику клиентом или сервером.

Среди программ, поддерживающих сборку с PolarSSL, можно отметить (Архивная копия от 19 августа 2014 на Wayback Machine) OpenVPN-NL (уязвим и требует обновления, так как использует (Архивная копия от 12 апреля 2015 на Wayback Machine) по умолчанию PolarSSL), OpenVPN, cURL, FreeRDP, PowerDNS. Проблема проявляется во всех выпусках PolarSSL 1.x, включая актуальные версии 1.3.9 и 1.2.12. Исправление пока доступно в виде патча.

Источники

править


 
 
Creative Commons
Эта статья содержит материалы из статьи «Критическая уязвимость в криптографической библиотеке PolarSSL», опубликованной OpenNET и распространяющейся на условиях лицензии Creative Commons Attribution (CC BY) — указание автора, источник и лицензию.
 
Эта статья загружена автоматически ботом NewsBots в архив и ещё не проверялась редакторами Викиновостей.
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.

Комментарии

Викиновости и Wikimedia Foundation не несут ответственности за любые материалы и точки зрения, находящиеся на странице и в разделе комментариев.