Вышли обновленные версии криптографического пакета OpenSSL, в которых закрыты четыре уязвимости, одна из которых имеет высокий рейтинг опасности и допускает проведение атаки типа «отказ в обслуживании» на сервер.

Уязвимость вызвана неправильным парсингом кода расширением DTLS SRTP (CVE-2014-3513) и позволяет отправить особым образом составленный запрос на рукопожатие, который заставит OpenSSL освободить до 64 килобайт памяти. Множество таких запросов приведёт к утечке памяти и к тому, что сервер перестанет нормально работать. Кто-то может использовать это для DoS-атаки.

Баг затрагивает серверные версии OpenSSL 1.0.1 в конфигурациях как SSL/TLS, так и DTLS. Причём независимо от того, используется ли расширение SRTP и как оно сконфигурировано. Единственное исключение — реализации OpenSSL, скомпилированные с настройкой OPENSSL_NO_SRTP.

Пользователям OpenSSL 1.0.1 следует обновиться до версии 1.0.1j.

Интересно, что патч предоставлен разработчиками проекта LibreSSL ещё 26 сентября, но команда OpenSSL исследовала проблему и 15 октября выпустила собственный патч.

Среди других закрытых уязвимостей — утечка памяти тикета сессии и уязвимость POODLE в SSL 3.0.

Версии OpenSSL 1.0.0 нужно обновить до 1.0.0o, а OpenSSL 0.9.8 — до 0.9.8zc.



Оставить мнение