В пакете OpenSSL обнаружены две серьезные ошибки [ Редагувати ]
В популярном пакете OpenSSL были обнаружены и исправлены две ошибки. Уязвимости, о которых идет речь, не могут использоваться для захвата контроля над компьютером, однако теоретически предоставляют злоумышленнику возможность проведения DoS-атаки на сервер.
Следует напомнить, что OpenSSL представляет собой открытую реализацию алгоритма шифрования Secure Sockets Layer (SSL), который применяется практически во всех веб-браузерах для защиты данных, передаваемых через Сеть. Кроме того, пакет лежит в основе популярного веб-сервера Apache, установленного на подавляющем большинстве интернет-серверов. Кстати, согласно исследованию, проведенному в ноябре прошлого года, половина всех компьютеров, на которых инсталлирован OpenSSL, используют старые, непропатченные версии пакета. А ошибка в компоненте веб-сервера на базе OpenSSL послужила причиной эпидемии вируса Slapper, разразившейся в сентябре 2002 года.
Что касается недавно обнаруженных в OpenSSL дыр, то они могут приводить к отказу сервера от обслуживания пользователей или затруднению администрирования машины. Первая уязвимость связана с присвоением нулевого указателя в функции do_change_cipher_spec, вторая - с выходом за границу при чтении в Kerberos Ciphersuites. Ошибки актуальны для реализаций OpenSSL 0.9.6c-0.9.6l и 0.9.7a-0.9.7c. Впрочем, необходимые обновления уже выпущены, и всем администраторам предлагается загрузить их с сайта Openssl.org.
