Dziury i łaty dla OpenSSL

Pod koniec września wykryto trzy dziury w OpenSSL, popularnej otwartej implementacji protokołów kryptograficznych.

Pod koniec września wykryto trzy dziury w OpenSSL, popularnej otwartej implementacji protokołów kryptograficznych.

Przynajmniej dwie z nich są poważne: dziura w parserze ASN.1 pozwala na wprowadzenie kodu opartego na OpenSSL w nieskończoną pętlę i zużycie całej pamięci. Druga dziura w funkcji SSL_get_shared_ciphers może prowadzić do przepełnienia bufora z nieznanymi konsekwencjami i może dotyczyć zarówno klientów, jak i serwerów SSL/TLS opartych na OpenSSL. Trzecia dziura dotyczy tylko aplikacji klienckich - złośliwie skonfigurowany serwer może spowodować ich destabilizację. Na stronie OpenSSL dostępne są poprawione wersje biblioteki. Dla linii 0.9.8 jest to wersja openssl-0.9.8d, dla starszej, ale nadal używanej 0.9.7 - openssl-0.9.7l. Firmy oferujące systemy operacyjne wykorzystujące OpenSSL powinny w międzyczasie udostępnić zaktualizowane pakiety. Należy je niezwłocznie zainstalować, ponieważ błędy te są poważne i stanowią realne zagrożenie. Więcej pod adresem:http://www.openssl.org-/news/secadv_20060928.txt .