Спустя почти год после легендарного Heartbleed в криптографическом пакете OpenSSL нашли новые уязвимости. К счастью, они не идут ни в какое сравнение с «раненым сердцем». Да «опасными» их можно назвать с большой натяжкой, хотя официально им присвоен именно такой статус.
Первая уязвимость проявляется, если клиент подключается к серверу с библиотекой OpenSSL 1.0.2 и обращается к нему с алгоритмом подписи с неправильным расширением. В этом случае возникает разыменование нулевого указателя, что открывает потенциальную возможность для DoS-атаки на сервер.
Второй «опасный» баг — это и вовсе закрытая ещё в январе уязвимость FREAK, которой изначально ошибочно присвоили статус «низкой» опасности, а сейчас повысили. Уязвимость FREAK действительно соответствует своему высокому статусу, но на сегодняшний день это уже формальность.
Таким образом, можно облегчённо вздохнуть. Хотя разработчики OpenSSL за три дня до выпуска новых версий всех изрядно напугали, когда анонсировали обновления 1.0.2a, 1.0.1m, 1.0.0r и 0.9.8zf в списке рассылки, назвали дату выпуска и упомянули об «опасном» баге. Фактически, тревога оказалась ложной. Но в сегодняшних реалиях, как говорится, «лучше перебдеть, чем недобдеть».
