Участники OpenSSL Software Foundation выпустили обновление для библиотеки OpenSSL, закрыв уязвимость высокой степени опасности, позволяющую удаленно инициировать отказ в обслуживании. Помимо информационного бюллетеня на прошлой неделе было опубликовано также предупреждение американской CERT.

Как сказано в бюллетене, данная уязвимость проявляется в процессе повторного согласования при установлении связи: «Если согласованию подлежит расширение Encrypt-Then-Mac, а в ходе первоначального квитирования оно оговорено не было (или наоборот), это может вызвать крэш OpenSSL (в зависимости от набора шифров). Данная уязвимость затрагивает как клиенты, так и серверы».

Брешь CVE-2017-3733 была обнаружена Джо Ортоном (Joe Orton) из Red Hat 31 января; она присутствует лишь в OpenSSL 1.1.0, версия 1.0.2 ей не подвержена. Пользователям рекомендуется установить корректирующий выпуск OpenSSL 1.1.0e. Релизы 1.0.0 и 0.9.8, снятые с поддержки, но еще используемые, тоже следует обновить.

Криптобиблиотека OpenSSL с открытым исходным кодом широко распространена, она используется в десятках тысяч коммерческих и самостоятельно созданных программных проектов. По этой причине связанные с OpenSSL уязвимости могут лататься в продуктах годами — достаточно вспомнить Heartbleed, до сих присутствующую на 200 тыс. сетевых устройств, хотя патч к ней был выпущен около трех лет назад.

В начале текущего месяца пользователей Ubuntu призвали обновить свои ОС с тем, чтобы избавиться от уязвимостей в OpenSSL (CVE-2016-7056, CVE-2016-7055), затрагивающих Ubuntu и производные.

Категории: Уязвимости