Релиз OpenSSL 1.0.0e с устранением двух уязвимостей

7 сентября 2011 года

Представлен корректирующий релиз библиотеки с реализацией протоколов SSL/TLS - OpenSSL 1.0.0e, в котором устранено две уязвимости (Архивная копия от 17 июля 2015 на Wayback Machine) и исправлены накопившиеся ошибки. Первая уязвимость присутствовала в наборе шифров ECDH и позволяла инициировать крах через отправку в неверном порядке сообщений в процессе установки соединения. Вторая уязвимость позволяла принять CRL (Certificate Revocation Lists) с полем "nextUpdate", в котором установлена дата из прошлого.

Отдельно отмечается исправление ошибок в коде поддержки DTLS (Datagram Transport Layer Security), добавление дополнительной защиты от атак через указание уже прошедших дат, обеспечение поддержки наборов шифров ECDH для сертификатов, использующих алгоритмы SHA2.

Источники

править


 
 
Creative Commons
Эта статья содержит материалы из статьи «Релиз OpenSSL 1.0.0e с устранением двух уязвимостей», опубликованной OpenNET и распространяющейся на условиях лицензии Creative Commons Attribution (CC BY) — указание автора, источник и лицензию.
 
Эта статья загружена автоматически ботом NewsBots в архив и ещё не проверялась редакторами Викиновостей.
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.

Комментарии

Викиновости и Wikimedia Foundation не несут ответственности за любые материалы и точки зрения, находящиеся на странице и в разделе комментариев.