Вышли обновленные версии криптографического пакета OpenSSL, в которых закрыты четыре уязвимости, одна из которых имеет высокий рейтинг опасности и допускает проведение атаки типа «отказ в обслуживании» на сервер. Уязвимость вызвана неправильным парсингом кода расширением DTLS SRTP (CVE-2014-3513) и позволяет отправить особым образом составленный запрос на рукопожатие, который заставит OpenSSL освободить до 64 килобайт памяти. Множество таких запросов приведёт к утечке памяти и к тому, что сервер перестанет нормально работать. Кто-то может использовать это для DoS-атаки. Баг затрагивает серверные версии OpenSSL 1.0.1 в конфигурациях как SSL/TLS, так и DTLS. Причём независимо от того, используется ли расширение SRTP и как оно сконфигурировано. Единственное исключение — реализации OpenSSL, скомпилированные с настройкой OPENSSL_NO_SRTP. Пользователям OpenSSL 1.0.1 следует обновиться до версии 1.0.1j. Интересно, что патч предоставлен разработчиками проекта LibreSSL ещё 26 сентября, но команда OpenSSL исследовала проблему и 15 октября выпустила собственный патч. Среди других закрытых уязвимостей — утечка памяти тикета сессии и уязвимость POODLE в SSL 3.0. Версии OpenSSL 1.0.0 нужно обновить до 1.0.0o, а OpenSSL 0.9.8 — до 0.9.8zc. http://xakep.ru/openssl-update/
