В OpenSSL обнаружена критическая уязвимость
В OpenSSL обнаружена критическая уязвимость, об этом сообщают Адам Лэнгли (Adam Langley) из Google и Дэвид Бенджамин (David Benjamin) из проекта BoringSSL.
В OpenSSL была обнаружена уязвимость CVE-2015–1793, позволяющая обойти процедуру проверки сертификата и организовать подтверждённое соединение с использованием подставного сертификата.
Причиной уязвимости являются изменения, внесенные в последних версиях OpenSSL 1.0.1n и 1.0.2b, в результате которых OpenSSL пытается найти альтернативную цепочку верификации сертификата, если первая попытка построения цепочки подтверждения доверия не увенчалась успехом. Это позволяет атакующему подменить сертификат.
Ранее в компанию Google уже сообщалось о различных подменах с использованием поддельных сертификатов.
openssl, решето, уязвимость, шифрование