Релиз OpenSSL 1.0.0e с устранением двух уязвимостей
Представлен корректирующий релиз библиотеки с реализацией протоколов SSL/TLS - OpenSSL 1.0.0e, в котором устранено две уязвимости и исправлены накопившиеся ошибки. Первая уязвимость присутствовала в наборе шифров ECDH и позволяла инициировать крах через отправку в неверном порядке сообщений в процессе установки соединения. Вторая уязвимость позволяла принять CRL (Certificate Revocation Lists) с полем "nextUpdate", в котором установлена дата из прошлого.Отдельно отмечается исправление ошибок в коде поддержки DTLS (Datagram Transport Layer Security), добавление дополнительной защиты от атак через указание уже прошедших дат, обеспечение поддержки наборов шифров ECDH для сертификатов, использующих алгоритмы SHA2.
© OpenNet