Вернуться на HostDB.ru Новости на HostDB.ru на Twitter Новости на HostDB.ru на LiveJournal Новости на HostDB.ru на Tumblr Новости в rss
Новости IT, хостинга
   Android, Apple, Facebook, Google, Linux, Microsoft, Samsung, Twitter, Интернет, Россия, браузеры, обновление ПО, онлайн-сервисы, операционные системы, планшеты, рынок ИТ, сделки, смартфоны, социальные сети, уязвимости  
  новостей: 10357
   комментариев: 2244

Критическая уязвимость в OpenSSL


В экстренном порядке выпущены корректирующие релизы библиотеки OpenSSL 1.0.1a, 1.0.0i и 0.9.8v в которых устранена критическая уязвимость, которая потенциально может быть применена для совершения атаки на приложения, использующие функции OpenSSL. При успешном совершении атаки может быть инициировано выполнение кода злоумышленника.

Проблема выявлена группой исследователей безопасности из компании Google, информации о наличии в публичном доступе готового к использованию эксплоита пока нет, но теоретически создание такого эксплоита не составит труда, поэтому всем пользователям рекомендуется в кратчайшие сроки осуществить обновление OpenSSL. На момент написания новости, пакеты с устранением уязвимости пока анонсированы только для Mandriva Linux, проследить за выходом обновлений для других популярных дистрибутивов можно на данных страницах: FreeBSD, Ubuntu, Gentoo, Slackware, openSUSE, CentOS, Scientific Linux, Fedora, RHEL и Debian.

Проблема вызвана ошибкой приведения типов в функции asn1_d2i_read_bio() при разборе данных в формате DER, используемого при работе с S/MIME и CMS. Уязвимость позволяет инициировать переполнение буфера и выполнить код злоумышленника при обработке специально оформленных данных. Теоретически эксплуатация уязвимости возможна только на 64-разрядных системах.

Опасность эксплуатации отмечается для приложений, использующих для разбора MIME-блоков функции SMIME_read_PKCS7 и SMIME_read_CMS, а также любые другие функции, связанные с декодированием DER-блоков через функции на базе BIO (d2i_*_bio) и FILE (d2i_*_fp), например, 2i_X509_bio или d2i_PKCS12_fp. В частности, уязвимости подвержена штатная утилита коммандной строки из состава OpenSSL, которая может быть эксплуатирована при обработке данных в формате DER. Приложения, использующие только процедуры PEM или функции ASN1 (d2i_X509, d2i_PKCS12 и т.п.) не подвержены данной уязвимости. Код, связанный с SSL и TLS, проблеме не подвержен, тем не менее следует обратить внимание, не используют ли приложения кроме SSL/TLS проблемных функций, подобных d2i_X509_bio.

Тэги OpenSSL, критические уязвимости

Источник: opennet.ru

  20 апреля 2012 488
Версия для печати

← предыдущая новость следующая новость →

Мой комментарий
Ваше имя*:
Email:
Комментарий*:
Зарегистрироваться автоматически: Вы будете зарегистрированы на сайте автоматически при добавлении комментария. Обязательно заполните поле Email для этого.
Сумма чисел 6 и 17*:            


Хостеры (2445)
HostDB (35)
Софт (2640)
Железо (993)
Интернет (1435)
Статистика и аналитика (3324)

Новости по теме
Выпуск Wine 1.7.54

Проект Tor начал тестирование собственной системы мгновенного обмена сообщениями

Релиз языка программирования Rust 1.4, развиваемого проектом Mozilla

Выпуск серверной JavaScript-платформы Node.js 5.0

Выпуск офисного пакета Apache OpenOffice 4.1.2

Критическая уязвимость в системе управления контентом Joomla

Доступен Linux-дистрибутив Ubuntu 15.10


Лучшие новости
ХостерыОбъявляем обновление цен на сервера с процессорами i9-9900 и i9-13900K.   RICHHost


Самые читаемые новости
ХостерыОбъявляем обновление цен на сервера с процессорами i9-9900 и i9-13900K.   RICHHost


Отправить сообщение администратору

Сумма чисел 27 и 8*:


© Новости на HostDB.ru, 2007-2024.
Яндекс цитирования
сообщить о неточности