522790
03.05.2016 опубликованы обновления для криптографического пакета OpenSSL 1.0.2c и 1.0.2h для шести уязвимостей, две из которых (CVE-2016-2108 и CVE-2016-2107) являются критическими.
Уязвимость CVE-2016-2108 представляет собой сочетание двух ошибок. При определенных условиях злоумышленник может проэксплуатировать их и удаленно выполнить код.
Уязвимость CVE-2016-2107 позволяет осуществить атаку типа «человек посередине» и получить контроль над данными, передаваемыми в рамках SSL-соединения.
Согласно бюллетеню безопасности, остальные четыре уязвимости не несут в себе серьезной угрозы. CVE-2016-2105 и CVE-2016-2106 затрагивают функцию EVP_EncodeUpdate. Уязвимость CVE-2016-2109 может вызвать выделение больших объемов памяти, что приводит к замедлению / некорректной работе системы вследствие нехватки памяти. Уязвимость CVE-2016-2176 позволяет подменить функцию X509_NAME_oneline в системах с использованием EBCDIC, в результате чего атакующий может получить обратно некоторую часть данных.
Пользователям OpenSSL настоятельно рекомендуется произвести обновление программного обеспечения до последней версии.
Интернет-портал «Безопасность пользователей в сети Интернет»
admin@safe-surf.ru
https://safe-surf.ru
