Обновление OpenSSL с устранением 14 уязвимостей
Доступны корректирующие выпуски OpenSSL 1.1.0a, 1.0.1u и 1.0.2i, в которых отмечено 14 уязвимостей, из которых одой проблеме (CVE-2016–6304) присвоен высокий уровень опасности. Уязвимость CVE-2016–6304 даёт возможность клиенту инициировать отказ в обслуживании серверного ПО путём исчерпания всей доступной памяти.
Суть атаки в непрерывной отправке очень больших запросов состояния OCSP (OCSP Status Request) в процессе согласования соединения. При каждом запросе процесс запрашивает очередной блок памяти и так как повторное согласование выполнено в рамках одного сеанса, не освобождает память. Проблеме подвержены серверные системы в конфигурации по умолчанию, даже если они не поддерживают OCSP. Проблема не проявляется в сборках, собранных с опцией «no-ocsp». Системы, использующие старые выпуски OpenSSL (до версии 1.0.1g), уязвимы только в случае явного включения OCSP в настройках.
В LibreSSL проблема проявляется только при разрешении повторного согласования соединения (renegotiation), но на практике уязвимость неэксплуатируема для систем с LibreSSL, так как для повторных согласований соединения действует ограничение в 3 пересогласования за 300 секунд.
© OpenNet