Администраторам, на прошлой неделе установившим обновления, нужно снова установить патч. На прошлой неделе OpenSSL Project выпустил исправления для целого ряда уязвимостей. Как оказалось, патч для CVE-2016-6307 стал причиной появления еще одной уязвимости – CVE-2016-6309. Согласно уведомлению OpenSSL Project, при получении сообщения длиной свыше 16 тыс. символов буфер, сохраняющий входящее сообщение, перераспределяется и перемещается.
“К сожалению, осталась висячая ссылка на старую область памяти, что приводит к попыткам записи в ранее освобожденную область. Это может стать причиной аварийного завершения работы и выполнения произвольного кода”, – говорится в уведомлении. Пользователям OpenSSL 1.1.0 необходимо установить версию 1.1.0b. Данное обновление получило критический рейтинг опасности.
OpenSSL Project исправил еще одну уязвимость, CVE-2016-7052, затрагивающую исключительно OpenSSL 1.0.2i. “Исправление ошибки, связанной с проверкой при помощи списка отозванных сертификатов (CRL), было добавлено в OpenSSL 1.1.0, но исключено из OpenSSL 1.0.2i. Как результат, любая попытка использовать CRL вызовет аварийное завершение работы с null pointer exception”, – сообщается в уведомлении. Пользователи OpenSSL 1.0.2i должны установить версию 1.0.2j. Обновление получило средний рейтинг опасности. (OpenSSL/NovostIT)
