Обновление OpenSSL 1.0.1j, 1.0.0o и 0.9.8zc с устранением уязвимостей

16 октября 2014 года

Wikinews-logo-ru.svg

Доступны корректирующие выпуски OpenSSL 1.0.1j, 1.0.0o и 0.9.8zc в которых устранено 3 уязвимости, а также представлен обходной путь для защиты от проявления уязвимости в SSL 3.0. В частности, добавлен механизм TLS_FALLBACK_SCSV, мешающий понижению версии протокола защищённого соединения при осуществлении атаки на системы с поддержкой SSLv3.

В выпуске OpenSSL 1.0.1j устранена выявленная разработчиками LibreSSL уязвимость CVE-2014-3513, вызванная ошибкой в коде разбора сообщений транспортного протокола DTLS- SRTP. Обработка специально оформленных handshake-сообщений, может привести к утечке содержимого памяти процесса из-за сбоя при освобождении до 64 Кб памяти. Проблема затрагивает серверные системы с SSL/TLS и DTLS, независимо от использования или настройки SRTP. Системы собранные с опцией OPENSSL_NO_SRTP не подвержены уязвимости.

Кроме того, устранены уязвимости CVE-2014-3567 и CVE-2014-3568, которым присвоен умеренный и низкий уровень опасности. Уязвимость CVE-2014-3567 напоминает проблему с SRTP, но вызвана проблемой очистки памяти при обработке некорректных session ticket. Проблема CVE-2014-3568 связана с тем, что при сборке с опцией "no-ssl3", OpenSSL продолжает принимать и обрабатывать запросы на соединение SSL 3.0.

Одновременно опубликован анонс грядущего прекращения поддержки ветки OpenSSL 0.9.8. Пользователям рекомендуется перейти к использованию веток 1.0.1 или 1.0.0. Выпуск обновлений для ветки 0.9.8 будет прекращён 31 декабря 2015 года, т.е. через 14 месяцев.

 

ИсточникиПравить


Эта статья содержит материалы из статьи «Обновление OpenSSL 1.0.1j, 1.0.0o и 0.9.8zc с устранением уязвимостей», опубликованной OpenNET и распространяющейся на условиях лицензии Creative Commons Attribution (CC BY) — указание автора, источник и лицензию.
Эта статья загружена автоматически ботом NewsBots в архив и ещё не проверялась редакторами Викиновостей.
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.
 

Комментарии:Обновление OpenSSL 1.0.1j, 1.0.0o и 0.9.8zc с устранением уязвимостей