OpenSSL получила исправления опасных уязвимостей

Исправлен ряд уязвимостей OpenSSL для всех поддерживаемых веток продукта. Помимо обычных исправлены так же уязвимости с «высоким» рейтингом опасности.

Как и было обещано, версии 1.0.2a, 1.0.1m, 1.0.0r и 0.9.8zf устраняют множество брешей, наиболее опасной из которых является уязвимость отказа в обслуживании (CVE-2015-0291), которая могла привести к сбоям в работе сервера с развёрнутым набором OpenSSL.

Ещё одна брешь (CVE-2015-0204) вызвала небольшой спор среди экспертов информационной безопасности. Дело в том, что вначале она получила «низкий» рейтинг опасности, но впоследствии оказалось, что условия её эксплуатации (связанные с экспортом набора шифров RSA) возникают довольно часто. В итоге она также получила «высокий» рейтинг.

Последний раз обновления безопасности для OpenSSL до этого релиза выходили в начале марта. Благодаря частому выпуску патчей команда по разработке этого криптографического пакета восстанавливает доверие, которое она утратила в прошлом году в результате громкого скандала, вызванного брешью Heartbleed.

В Интернете появились специализированные веб-сайты, посвящённые Heartbleed, настолько серьезной оказалась угроза безопасности. На этих сайтах можно узнать о механизмах работы бреши, а также о том, как обезопасится от неё.

Ещё одной угрозой, подстегнувшей мировое сообщество обратить внимание на основополагающие программные решения, основанные на открытом исходном коде, стал механизм FREAK (Factoring RSA Export Keys), который позволяет злоумышленникам обходить средства шифрования данных.

Источник: www.3dnews.ru