OpenSSL закрыл четыре опасные уязвимости

    OpenSSL Project выпустил патч своего пакета для шифрования с открытым исходным кодом с целью исправления недавно обнаруженной уязвимости POODLE SSL и других. Обновления доступны для OpenSSL 0.9.8zc, 1.0.0o и 1.0.1j.





    Всего специалисты OpenSSL в самой свежей версии популярной криптографической библиотеки исправили 4 уязвимости, одна из которых была квалифицирована как уязвимость с высокой степенью опасности.

    Две были связаны с POODLE (Padding Oracle On Downgraded Legacy Encryption), позволявшей получить данные, такие как куки-файлы через безопасное соединение. Еще две иниицировали утечки памяти и открывали возможность для DoS-атаки.

    Как сообщается в научно-исследовательской работе, опубликованной во вторник экспертами по безопасности Google Бодо Моллером, Таем Дуоном и Кшиштофом Котовичем, POODLE стал результатом проблемы в 15-летней версии 3.0 протокола SSL. Хотя многие сайты перешли на использование Transport Layer Security (TLS) -протокола, основные веб-браузеры, чреди которых Chrome и Firefox, по-прежнему обеспечивают поддержку SSL 3.0 в случаях, когда они не могут подключиться к серверу с использованием более современного протокола.
    Share post

    Comments 10

      0
      Спасибо, уже ставлю обновления.
      Вопрос: проблема с версией 3.0 была концептуальной или в реализации?
        +1
        Концептуальной.
          +3
          Не очень понятно, как они тогда исправили ее?
            +1
            Форсированно включили TLS_FALLBACK_SCSV (предотвращает downgrade до SSLv3).
              +3
              Никто ничего не форсирует. Теперь, с новым OpenSSL, клиенты могут отправлять SCSV последовательность при использовании SSL3, если они не смогли подключиться по TLS1.x. OpenSSL сервер закроет такое подключение и тем самым предотвратив downgrade до SSL3.
                0
                А сервер точно закроет это соединение? Маленький патчик, и ведь таки не закроет.
          0
          «by design»
          0
          Ссылки на источник, на описание уязвимости, на CVE, на статью на LWN, в конце концов? Ну или статья должна быть полная, с подробным описанием уязвимости. Not complaining, просто это в самом деле то, что ожидается увидеть в статье об уязвимости.

          Спасибо.
          0
          Новости сегодня — прямо комбо: «Facebook удвоила антихакерскую премию — OpenSSL закрыл четыре опасные уязвимости»

          Only users with full accounts can post comments. Log in, please.