Мир: В OpenSSL исправлены шесть уязвимостей

0

Во вторник, 3 мая, состоялся релиз шести патчей для уязвимостей в OpenSSL, в том числе для двух опасных (CVE-2016-2108 и CVE-2016-2107). Уязвимость CVE-2016-2108 затрагивает версии OpenSSL, выпущенные до апреля 2015 года, и состоит из двух самих по себе несущественных ошибок, которые вместе могут представлять серьезную угрозу. При определенных условиях злоумышленник может проэксплуатировать их и удаленно выполнить код. Вторая опасная уязвимость (CVE-2016-2107) позволяет осуществить атаку “человек посередине” и расшифровать данные.

CVE-2016-2105 и CVE-2016-2106 затрагивают функцию EVP_EncodeUpdate(). Как сообщается в бюллетене по безопасности, шансы проэксплуатировать их и удаленно выполнить код очень невелики. Уязвимость CVE-2016-2109 может вызвать распределение больших объемов памяти, что приведет к чрезмерному потреблению ресурсов или переполнению памяти.

Уязвимость CVE-2016-2176 позволяет вызывать перегрузку функции X509_NAME_oneline() в системах с использованием EBCDIC, в результате чего атакующий может получить обратно некоторую часть данных. Тем не менее, такой объем данных практически бесполезен для злоумышленника. (OpenSSL/NovostIT)