Новости

В OpenSSL исправлены шесть уязвимостей

04.05.2016
В OpenSSL исправлены шесть уязвимостей
03.05.2016 опубликованы обновления для криптографического пакета OpenSSL 1.0.2c и 1.0.2h для шести уязвимостей, две из которых (CVE-2016-2108 и CVE-2016-2107) являются критическими.

Уязвимость CVE-2016-2108 представляет собой сочетание двух ошибок. При определенных условиях злоумышленник может проэксплуатировать их и удаленно выполнить код.

Уязвимость CVE-2016-2107 позволяет осуществить атаку типа «человек посередине» и получить контроль над данными, передаваемыми в рамках SSL-соединения.

Согласно бюллетеню безопасности, остальные четыре уязвимости не несут в себе серьезной угрозы. CVE-2016-2105 и CVE-2016-2106 затрагивают функцию EVP_EncodeUpdate. Уязвимость CVE-2016-2109 может вызвать выделение больших объемов памяти, что приводит к замедлению / некорректной работе системы вследствие нехватки памяти. Уязвимость CVE-2016-2176 позволяет подменить функцию X509_NAME_oneline в системах с использованием EBCDIC, в результате чего атакующий может получить обратно некоторую часть данных.

Пользователям OpenSSL настоятельно рекомендуется произвести обновление программного обеспечения до последней версии.