В OpenSSL 1.0.1 обнаружена критическая уязвимость CVE-2014-0160
В последнем релизе популярной свободной реализации протоколов SSL/TLS — OpenSSL — обнаружена критическая уязвимость, позволяющая злоумышленникам получить доступ к конфиденциальной информации.Уязвимость CVE-2014–0160, о которой стало официально известно 7 апреля, затрагивает последние версии OpenSSL: стабильную 1.0.1 и бета-версию 1.0.2-beta, которые, в частности, используются в актуальных версиях дистрибутивов GNU/Linux (например, OpenSSL 1.0.1 устанавливается в Ubuntu 12.04 и 13.10). Проблема в обработке памяти в расширении TLS heartbeat приводит к возможности получить данные, хранимые в OpenSSL, что несет серьезную угрозу конфиденциальности информации, передаваемой по зашифрованному каналу.Проблему обнаружил Нил Мехта (Neel Mehta) из Google. Исправление уже доступно пользователям OpenSSL 1.0.1 в релизе 1.0.1g, а для бета-версии 1.0.2-beta будет представлено в 1.0.2-beta2. Всем пользователям OpenSSL 1.0.1 рекомендуется срочно обновиться до актуальной версии. Поставщики крупных Linux-дистрибутивов уже выпустили соответствующие обновления.
© nixp