Уязвимости в OpenSSL

Команда разработчиков проекта OpenSSL объявила о наличии уязвимостей в этом довольно популярном пакете. Первая уязвимость связана с использованием нулевого указателя во внутренней функции do_change_cipher_spec(), что может позволить удалённому атакующему при организации этапа «приветствия» (handshake — начальный этап установки соединения) по SSL/TLS-протоколу при помощи специально сформированнного пакета вызвать DoS Web-сервера (в некоторых случаях — в IOS фирмы CISCO вызвать также перезагрузку). Многие приложения, использующие библиотеки OpenSSL также уязвимы. Вторая уязвимость связана с использованием Kerberos при организации обмена ключами по SSL/TLS-протооколу. В этом случае уязвимости подвержено меньшее количество приложений, ввиду довольно ограниченного круга использования Kerberos. Уязвимы обе ветви в данный момент поддерживаемые разработчиками — 0.9.6 и 0.9.7. Выпущены обновлённые версии — 0.9.7d и 0.9.6m. Большинство разработчиков дистрибутивов (в том числе и CISCO) выпустили собственные обновлённые версии OpenSSL.

Постоянная ссылка к новости: http://www.nixp.ru/news/3561.html. Дмитрий Шурупов по материалам uinc.ru.