Вышли обновленные версии криптографического пакета OpenSSL, в которых закрыты четыре уязвимости, одна из которых имеет высокий рейтинг опасности и допускает проведение атаки типа «отказ в обслуживании» на сервер.
Уязвимость вызвана неправильным парсингом кода расширением DTLS SRTP (CVE-2014-3513) и позволяет отправить особым образом составленный запрос на рукопожатие, который заставит OpenSSL освободить до 64 килобайт памяти. Множество таких запросов приведёт к утечке памяти и к тому, что сервер перестанет нормально работать. Кто-то может использовать это для DoS-атаки.
Баг затрагивает серверные версии OpenSSL 1.0.1 в конфигурациях как SSL/TLS, так и DTLS. Причём независимо от того, используется ли расширение SRTP и как оно сконфигурировано. Единственное исключение — реализации OpenSSL, скомпилированные с настройкой OPENSSL_NO_SRTP.
Пользователям OpenSSL 1.0.1 следует обновиться до версии 1.0.1j.
Интересно, что патч предоставлен разработчиками проекта LibreSSL ещё 26 сентября, но команда OpenSSL исследовала проблему и 15 октября выпустила собственный патч.
Среди других закрытых уязвимостей — утечка памяти тикета сессии и уязвимость POODLE в SSL 3.0.
Версии OpenSSL 1.0.0 нужно обновить до 1.0.0o, а OpenSSL 0.9.8 — до 0.9.8zc.
