OpenSSL załatany
- Antoni Steliński,
- 23.01.2012, godz. 11:57
Przedstawiciele projektu OpenSSL udostępnili zaktualizowaną wersję popularnej biblioteki OpenSSL. Załatano w niej lukę, umożliwiającą wywołanie DoS (denial-of-service). Co ciekawe zagrożenie powstało wraz z wprowadzeniem poprawek 6 stycznia.
Polecamy:
Błąd, o którym mowa w CVE-2011-4108, znajdował się w wykorzystanej w OpenSSL implementacji protokołu DTLS (Datagram Transport Layer Security), umożliwiającego deszyfrowanie bezpiecznej komunikacji bez znajomości klucza szyfrującego. Został on wykryty przez Nadhema Alfardana oraz Kenny'ego Patersona z działającej w ramach Uniwersytetu Londyńskiego Information Security Group podczas badań nad trybem CBC (Cipher-block chaining). Usunięty został 6 stycznia (w wersjach 1.0.0f i 0.9.8s)
Zobacz również:
- Microsoft i Quantinuum twierdzą, że otworzyły nowy rozdział w rozwoju komputerów kwantowych
- VMware wzywa do pilnej aktualizacji oprogramowania Aria for Network Operations
Użytkownikom, którzy jeszcze nie zaktualizowali OpenSSL do wydań 1.0.0f lub 0.9.8s zaleca się ich pominięcie i przejście od razu do najnowszych wersji 1.0.0g lub 0.9.8t.
Dodajmy, że oprogramowanie OpenSSL dostęne jest m.in. dla Linuksa, Solarisa, Mac OS X, BSD, Windows oraz OpenVMS (do niektórych z tych OS-ów biblioteka jest zaimplementowana, dlatego też poprawki zostaną dostarczane za pomocą systemowych mechanizmów aktualizacyjnych).
Więcej informacji: OpenSSL.