Dziury i łaty w OpenSSL

Pod koniec września wykryto trzy dziury w OpenSSL, popularnej otwartej implementacji protokołów kryptograficznych.

Przynajmniej dwie z nich są poważne: dziura w parserze ASN.1 pozwala na wprowadzenie kodu opartego o OpenSSL w nieskończoną pętlę i zużycie całej pamięci.

Druga dziura w funkcji SSL_get_shared_ciphers może prowadzić do przepełnienia bufora z nieznanymi konsekwencjami i może dotyczyć zarówno klientów jak i serwerów SSL/TLS opartych o OpenSSL.

Trzecia dziura dotyczy tylko aplikacji klienckich opartych o OpenSSL - złośliwe skonfigurowany serwer może spowodować destabilizację aplikacji klienta.

Na stronie OpenSSL dostępne są poprawnione wersje biblioteki. Dla linii 0.9.8 jest to wersja openssl-0.9.8d, dla starszej ale nadal używanej 0.9.7 - openssl-0.9.7l.

Systemy operacyjne wykorzystujące OpenSSL powinny w międzyczasie udostępnić zaktualizowane pakiety, należy jednak zdawać sobie sprawę że błędy te są poważne i jak najszybciej zainstalować poprawki.

OpenSSL Security Advisory [28th September 2006]:http://www.openssl.org/news/secadv_20060928.txt

OpenSSL: http://www.openssl.org/