Обширно применяемый проект безопасности с открытым исходным кодом предоставляет исправления человеку в уязвимостях отказа в середине и обслуживании.OpenSSL Project с открытым исходным кодом этим утром выпустил последовательность обновлений, обеспечив семь исправлений безопасности для новых недостатков. Обновления совокупности защиты для OpenSSL являются самыми громадными, поскольку проект был в центре огненной бури безопасности Heartbleed в апреле, в то время, когда несколько фиксировала лишь одну уязвимость.OpenSSL есть криптографической библиотекой с открытым исходным кодом, которой обширно пользуются, которая снабжает возможности шифрования Уровня защищенных сокетов для устройств и серверов конечного пользователя.
Интернет-Центр Storm (ISC SANS) оценивает два из сравнительно не так давно исправленных недостатков как критически серьёзные. Один, идентифицированный как CVE-2014-0224, уязвимость человека в середине (MITM) SSL, которая имела возможность оказать обширно распространенное, критическое влияние. В нападении MITM атакующий в состоянии прервать зашифрованные сообщения, посланные между защищенными конечными точками и дешифровать сообщение.
«Атакующий, применяющий шепетильно обработанное квитирование, может привести к использованию не сильный материала манипулирования на SSL/TLS OpenSSL [Уровень защищенных сокетов / безопасность Уровня Передачи] клиент-серверы», OpenSSL даёт предупреждение на его консультации. «Это возможно использовано атакой «человек посередине», где атакующий может дешифровать и поменять трафик от подвергшегося нападению клиент-сервера».OpenSSL Project предостерегает, что все версии клиента OpenSSL уязвимы для CVE-2014-0224. Консультация OpenSSL отмечает, что о CVE-2014-0224 сказали OpenSSL Project 1 мая.
Второе обновление OpenSSL, оцененное как критически серьёзное, для недостатка, идентифицированного как CVE-2014-0195, и есть Дейтаграммной безопасностью транспортного уровня (DTLS) недопустимая уязвимость фрагмента, о которой сказали проекту 23 апреля.«Наступление переполнения буфера возможно инициировано, послав недопустимые фрагменты DTLS клиенту OpenSSL DTLS либо серверу», консультация OpenSSL даёт предупреждение. «Это возможно годно для применения для исполнения произвольного кода по уязвимому клиенту либо серверу».DTLS кроме этого в ядре недостатка CVE-2014-0221, что есть недостатком рекурсии DTLS, что ISC SANS оценил критически ответственный.
«Отправляя недопустимое квитирование DTLS клиенту OpenSSL DTLS, код возможно сделан рекурсивно позвать, в конечном итоге отказывая в нападении DoS», заявляет консультация OpenSSL.Две вторых уязвимости, оба оценили ответственный, привлеките возможность SSL_MODE_RELEASE_BUFFERS в OpenSSL.
CVE-2014-0198 есть Нулевой указатель, разыменовывают недостаток в SSL_MODE_RELEASE_BUFFERS, что имел возможность привести к условию отказа в обслуживании. Недостаток CVE-2010-5298 есть состоянием состязания в SSL_MODE_RELEASE_BUFFERS, что имел возможность привести к отказу в обслуживании.Консультация OpenSSL отмечает, но, что с обеими из неприятностей, недостатки лишь воздействуют на OpenSSL 1.0.0 и 1.0.1, где SSL_MODE_RELEASE_BUFFERS включен, что не есть значением по умолчанию и не распространенный.OpenSSL кроме этого исправляет для недостатка CVE-2014-3470, что есть Неизвестной проблемой DoS Эллиптической кривой Диффи Хеллмена (ECDH), о которой сказали OpenSSL Project 28 мая.
Помимо этого, OpenSSL снабжает патч для CVE-2014-0076 уязвимости для пользователей более ветхого OpenSSL 1.0.0 м и 0.9.8za выпуски.В отличие от неприятности Heartbleed OpenSSL, сперва публично сказал 7 апреля и лишь исправленный поставщиками Linux и другими сутки либо больше по окончании того, как консультация вышла, новые неприятности OpenSSL уже имеют многократные общедоступные патчи в наличии. Ubuntu проект Linux, и Red Hat выпустил общедоступные обновления для новых неприятностей OpenSSL.Шон Майкл Кернер есть главным редактором eWEEK и InternetNews.com.
Следуйте за ним в Твиттере @TechJournalist.