Обновление OpenSSL 1.1.0c с устранением уязвимости в реализации ChaCha20/Poly1305
Опубликован корректирующий выпуск криптографической библиотеки OpenSSL 1.1.0c, в котором устранены три уязвимости, среди которых одна проблема помечена как опасная. Уязвимость CVE-2016–7054 присутствует в реализации набора шифров »*-CHACHA20-POLY1305» и может привести к переполнению буфера при обработке специально оформленных данных. Указано, что проблему можно использовать для инициирования краха приложений, использующих OpenSSL. Возможность создания эксплоитов, обеспечивающих выполнение кода, оценивается как маловероятная. Проблема проявляется только в ветке 1.1.0.
© OpenNet