Как следует из опубликованного разработчиками OpenSSL уведомления, их последние исправления безопасности действительно устраняют критическую уязвимость, однако она не является аналогом Heartbleed или POODLE, который ожидали увидеть многие IT-эксперты. Как выяснилось, речь идет о бреши, затрагивающей только версию 1.0.2 и позволяющей удаленному пользователю вызвать отказ в обслуживании.
Свыше десятка других уязвимостей, выявленных в популярной криптобиблиотеке, имеют еще меньший уровень опасности – девять помечены, как бреши “среднего” рейтинга опасности, а оставшимся трем присвоен “низкий” уровень. “Упомянутая DoS-атака, становится возможной на стороне клиента или сервера в результате некорректной конфигурации сертификата, – поясняет исследователь Рич Салз (Rich Salz). – Однако, согласно нашей текущей политике безопасности, такой отказ в обслуживании является критической проблемой”.
Такое отношение к обеспечению бесперебойной работы OpenSSL было выработано в компании еще осенью прошлого года, когда разработчики решили выпускать некоторые исправления безопасности вне очереди. Речь идет о тех обновлениях, которые устраняют уязвимости, позволяющие осуществить DoS-атаку, спровоцировать утечку памяти или удаленно выполнить произвольный код. (OpenSSL/NovostIT)
