На текущей неделе участники проекта OpenSSL планируют выпустить новые релизы ПО и попутно закрыть две уязвимости.

Утром ближайшего четверга (по восточному времени) пользователям OpenSSL будет предложено перейти на версии 1.0.2f и 1.0.1r. «Они устраняют два дефекта, чреватые нарушением безопасности, один высокой степени опасности, актуальный для релизов 1.0.2, второй «низкой» опасности, ему подвержены все релизы», — отметили разработчики в информационном бюллетене.

Согласно политике OpenSSL в отношении безопасности, обнародованной в конце 2014 года, уязвимости высокой степени опасности должны закрываться новым релизом, хотя они менее серьезны, чем критические баги. Высокая степень опасности присваивается брешам, характерным для не очень распространенных конфигураций. Критической признается уязвимость, присутствующая при общепринятых настройках, легко эксплуатируемая, доступная удаленно и обычно сопряженная с утечкой памяти — к примеру, криптоключей.

Подробности новых брешей пока неизвестны.

Последний раз OpenSSL латали в декабре; тогда были устранены четыре уязвимости, и это были последние заплатки для устаревших версий 0.9.8 и 1.0.0. Патчи для 1.0.1 и 1.0.2 будут выпускаться до конца 2016 и 2019 года соответственно.

OpenSSL является одной из наиболее востребованных криптографических библиотек, ее можно найти не только в приложениях домашних пользователей, но также в коммерческих продуктах. Со времени открытия Heartbleed проект OpenSSL показал значительный прогресс в отношении чистоты кода и процессов. Вскоре после обнаружения Heartbleed-бреши OpenSSL получил финансовую помощь от IT-альянса Core Infrastructure Initiative и впервые смог нанять разработчиков на полный рабочий день, а также оплатить аудит критических частей кода, в том числе машины состояний TLS.

Категории: Уязвимости