Новости IT, хостинга
  Android, Apple, Facebook, Google, Linux, Microsoft, Samsung, Twitter, Интернет, Россия, браузеры, обновление ПО, онлайн-сервисы, операционные системы, планшеты, рынок ИТ, сделки, смартфоны, социальные сети, уязвимости  
  новостей: 10385
  комментариев: 3200

Обновление OpenSSL 1.0.1j, 1.0.0o и 0.9.8zc с устранением уязвимостей


Доступны корректирующие выпуски OpenSSL 1.0.1j, 1.0.0o и 0.9.8zc в которых устранено 3 уязвимости, а также представлен обходной путь для защиты от проявления уязвимости в SSL 3.0. В частности, добавлен механизм TLS_FALLBACK_SCSV, мешающий понижению версии протокола защищённого соединения при осуществлении атаки на системы с поддержкой SSLv3.

В выпуске OpenSSL 1.0.1j устранена выявленная разработчиками LibreSSL уязвимость CVE-2014-3513, вызванная ошибкой в коде разбора сообщений транспортного протокола DTLS-SRTP. Обработка специально оформленных handshake-сообщений, может привести к утечке содержимого памяти процесса из-за сбоя при освобождении до 64 Кб памяти. Проблема затрагивает серверные системы с SSL/TLS и DTLS, независимо от использования или настройки SRTP. Системы собранные с опцией OPENSSL_NO_SRTP не подвержены уязвимости.

Кроме того, устранены уязвимости CVE-2014-3567 и CVE-2014-3568, которым присвоен умеренный и низкий уровень опасности. Уязвимость CVE-2014-3567 напоминает проблему с SRTP, но вызвана проблемой очистки памяти при обработке некорректных session ticket. Проблема CVE-2014-3568 связана с тем, что при сборке с опцией "no-ssl3", OpenSSL продолжает принимать и обрабатывать запросы на соединение SSL 3.0.

Одновременно опубликован анонс грядущего прекращения поддержки ветки OpenSSL 0.9.8. Пользователям рекомендуется перейти к использованию веток 1.0.1 или 1.0.0. Выпуск обновлений для ветки 0.9.8 будет прекращён 31 декабря 2015 года, т.е. через 14 месяцев.


Источник: opennet.ru

  18 октября 2014 615
Версия для печати

← предыдущая новость следующая новость →

Мой комментарий
Ваше имя*:
Email:
Комментарий*:
Зарегистрироваться автоматически: Вы будете зарегистрированы на сайте автоматически при добавлении комментария. Обязательно заполните поле Email для этого.
Сумма чисел 8 и 14*:            


Хостеры (2472)
HostDB (35)
Софт (2640)
Железо (993)
Интернет (1435)
Статистика и аналитика (3324)




Отправить сообщение администратору

Сумма чисел 11 и 5*:


Яндекс цитирования
сообщить о неточности