Немножко уязвимостей в OpenSSL
Команда разработчиков OpenSSL выпустила Security Advisory, в котором рассказывается о 9 новых уязвимостях в OpenSSL, и настоятельно рекомендуют обновляться: Пользователям OpenSSL 0.9.8 до версии 0.9.8zb Пользователям OpenSSL 1.0.0 до версии 1.0.0n Пользователям OpenSSL 1.0.1 до версии 1.0.1i Исправленные уязвимости: Information leak in pretty printing functions (CVE-2014–3508) — приводит к утечке информации из стека при использовании функций «красивого» вывода. Crash with SRP ciphersuite in Server Hello message (CVE-2014–5139) — приводит к падению клиента (из-за null pointer dereference), если сервер будет использовать SRP ciphersuite. Race condition in ssl_parse_serverhello_tlsext (CVE-2014–3509) — сервер злоумышленника может записать до 255 байт на клиенте. Double Free when processing DTLS packets (CVE-2014–3505) — приводит к падению клиента, если сервер отправит специально сформированный DTLS-пакет. DTLS memory exhaustion (CVE-2014–3506) — приводит к увеличенному потреблению памяти при обработке DTLS-пакетов. DTLS memory leak from zero-length fragments (CVE-2014–3507) — приводит к утечке памяти при отправке специально сформированного DTLS-пакета. OpenSSL DTLS anonymous EC (DH) denial of service (CVE-2014–3510) — приводит к падению клиента, если сервер использует анонимный EC (DH) и специальным образом отправит handshake. OpenSSL TLS protocol downgrade attack (CVE-2014–3511) — позволяет произвести downgrade соединения до TLS 1.0 MiTM-атакующему. SRP buffer overrun (CVE-2014–3512) — позволяет переполнить внутренний буфер обработки SRP. Если в вашей системе используется разделение пакетов, не забудьте обновить libssl, а не только сам openssl.Естественно, приложения, использующие openssl, должны быть перезапущены. Если у вас Debian, то вы можете использовать утилиту «checkrestart» из debian-goodies.
