1. Зарабатывайте, общаясь на форуме!

    На нашем форуме вы можете зарабатывать деньги, просто общаясь! Зарегистрируйтесь на бирже подписей Linkum, добавьте свой профиль и получайте деньги.

    Подробности ЗДЕСЬ.

В OpenSSL устранили четыре уязвимости

Тема в разделе "Уязвимости", создана пользователем minfin, 17 окт 2014.

  1. minfin

    minfin Администратор

    Регистрация:
    26 сен 2013
    Сообщения:
    116
    Симпатии:
    14
    Баллы:
    21
    Пол:
    Мужской
    [​IMG]

    Вышли обновленные версии криптографического пакета OpenSSL, в которых закрыты четыре уязвимости, одна из которых имеет высокий рейтинг опасности и допускает проведение атаки типа «отказ в обслуживании» на сервер.

    Уязвимость вызвана неправильным парсингом кода расширением DTLS SRTP (CVE-2014-3513) и позволяет отправить особым образом составленный запрос на рукопожатие, который заставит OpenSSL освободить до 64 килобайт памяти. Множество таких запросов приведёт к утечке памяти и к тому, что сервер перестанет нормально работать. Кто-то может использовать это для DoS-атаки.

    Баг затрагивает серверные версии OpenSSL 1.0.1 в конфигурациях как SSL/TLS, так и DTLS. Причём независимо от того, используется ли расширение SRTP и как оно сконфигурировано. Единственное исключение — реализации OpenSSL, скомпилированные с настройкой OPENSSL_NO_SRTP.

    Пользователям OpenSSL 1.0.1 следует обновиться до версии 1.0.1j.

    Интересно, что патч предоставлен разработчиками проекта LibreSSL ещё 26 сентября, но команда OpenSSL исследовала проблему и 15 октября выпустила собственный патч.

    Среди других закрытых уязвимостей — утечка памяти тикета сессии и уязвимость POODLE в SSL 3.0.

    Версии OpenSSL 1.0.0 нужно обновить до 1.0.0o, а OpenSSL 0.9.8 — до 0.9.8zc.

    http://xakep.ru/openssl-update/
     
  2. Iron

    Iron Новичок

    Регистрация:
    13 ноя 2013
    Сообщения:
    13
    Симпатии:
    2
    Баллы:
    1
    А в 1.0.1e такая уязвимость есть?