Команда OpenSSL Project анонсировала релиз корректирующих выпусков OpenSSL 1.0a, 1.0.2i и 1.0.1u, содержащих исправления множественных уязвимостей. Разработчики не уточнили, о каких именно проблемах идет речь, однако отметили, что одна из них классифицирована как высокой степени опасности. Релиз обновлений запланирован на 22 сентября нынешнего года. Разработчики также напомнили о прекращении поддержки ветки 1.0.1. После 31 декабря 2016 обновления для данной версии библиотеки выпускаться не будут.
Согласно политике безопасности OpenSSL подробности об опасных уязвимостях не разглашаются до момента выхода обновленной версии ПО на всех поддерживаемых платформах. Как правило, ошибки высокой степени опасности разработчики устраняют в течение месяца, критические – как можно скорее.
В нынешнем году разработчики уже устранили ряд опасных уязвимостей в библиотеке OpenSSL. В частности, в январе была исправлена уязвимость, существовавшая из-за ошибки в реализации алгоритма Диффи-Хеллмана, которая в некоторых случаях приводила к повторному использованию одинаковых простых чисел. В марте была устранена проблема CVE-2016-0800, позволявшая совершить новый тип атаки на HTTPS – DROWN (Decrypting RSA with Obsolete and Weakened eNcryption). (OpenSSL/NovostIT)
