Обновление OpenSSL 1.0.2a, 1.0.1m, 1.0.0r и 0.9.8zf с устранением уязвимостей
Доступны корректирующие выпуски OpenSSL 1.0.2a, 1.0.1m, 1.0.0r и 0.9.8zf в которых устранено 14 уязвимостей, из которых двум присвоен высокий уровень опасности, 9 отнесены к умеренному уровню опасности, а 3 помечены как неопасные. Первая из опасных проблем (CVE-2015–0204) затрагивает ветки 1.0.1, 1.0.0 и 0.9.8 и закрывает на стороне клиента возможность совершения недавно анонсированной атаки FREAK, позволяющей сменить шифры RSA на RSA_EXPORT и выполнить дешифровку трафика. Вторая опасная уязвимость (CVE-2015–0291) проявляется только в ветке 1.0.2 и может привести к разыменованию указателя NULL и краху серверного приложения при передаче клиентом в процессе установки соединения специально оформленных значений ClientHello. Уязвимости с умеренной степенью опасности могут привести к краху использующих openssl процессов при передаче специально оформленных некорректных данных.
© OpenNet