Новости и события » Hi-Tech » Критическая уязвимость в OpenSSL 1.1.0a

Критическая уязвимость в OpenSSL 1.1.0a

В изменениях, внесенных в опубликованном на прошлой неделе обновлении криптографической библиотеки OpenSSL 1.1.0a, выявлена критическая уязвимость (CVE-2016-6309), которая потенциально может привести к выполнению кода злоумышленника при обработке отправленных им пакетов. Всем пользователям ветки OpenSSL 1.1.0 рекомендуется срочно обновить OpenSSL до версии 1.1.0b. Уязвимость выявлена сотрудниками Google при проведении fuzzing-тестирования нового выпуска инструментом honggfuzz.

Проблема появилась в выпуске OpenSSL 1.1.0a в коде устранения уязвимости CVE-2016-6307 и проявляется при получении сообщения, размером больше 16 Кб, в ситуации перераспределения и перемещения буфера, отведенного для поступающих сообщений. Суть ошибки в том, что после перераспределения памяти остается висячий указатель на старое положение буфера и запись поступившего сообщения производится в ранее уже освобожденную область памяти. Наиболее вероятным результатом подобной записи будет крах, но разработчики не исключают нахождение векторов атаки, при которых возможно организовать выполнение кода атакующего.

Интересно, что это не единственная ошибка, допущенная в прошлых выпусках. В представленном 22 сентября обновлении прошлой ветки (OpenSSL 1.0.2i) всплыла менее опасная уязвимость (CVE-2016-7052), в результате которой при попытке использования CRLs возникал крах из-за разыменования нулевого указателя. Проблема устранена в выпуске OpenSSL 1.0.2j.

По материалам:  www.opennet.ru


Кличко сделал неожиданное заявление о реванше с Фьюри

Кличко сделал неожиданное заявление о реванше с Фьюри

Главной целью экс-чемпиона мира в супертяжелом весе украинца Владимира Кличко по-прежнему остается бой-реванш с британцем Тайсоном Фьюри, который уже давжды срывался по вине Фьюри, и в возможности проведения которого многие болельщики Кличко уже подробнее ...

загрузка...

 

Вверх