Dziewięć poprawek bezpieczeństwa dla luk w OpenSSL

Biblioteka kryptograficzna OpenSSL, której oprogramowanie jest podstawą wielu tysięcy stron internetowych otrzymała dziewięć poprawek bezpieczeństwa, z powodu znajdujących się w niej luk w trzech głównych gałęziach kodu.

Żadna ze znalezionych luk nie może być wykorzystana do przeprowadzenia wycieku informacji, jak to miało miejsce w kwietniowym błędzie tejże biblioteki, którego nazwa znana jest jako Heartbleed. Niektóre ze znalezionych luk mogą być wykorzystane do przeprowadzenia ataku Denial of Service (DoS) na protokół Datagram Transport Layer Security (DTLS).

Na co pozwalają wykryte luki?

Jedna z wad serwera korzystającego z OpenSSL odkryta przez pracowników Google (Davida Benjamina i Adama Langley – odkrywców luki Heartbleed) może umożliwić atakującemu wymuszenie od ofiary korzystanie ze starszego i mniej bezpiecznego protokołu  TLS 1.0, zamiast bardziej bezpiecznych i nowoczesnych jego odpowiedników.

Obecna fala luk nie jest tak poważna, jak kilka ostatnio wydanych biuletynów dla biblioteki OpenSSL” – powiedział Marco Ostini, analityk bezpieczeństwa AusCERT.

Aktualizacja oprogramowania

Twórcy projektu OpenSSL zalecają użytkownikom jak najszybszą aktualizację używanego przez nich oprogramowania.

  • Użytkownicy OpenSSL 0.9.8 powinni przeprowadzić aktualizację do wersji 0.9.8zb
  • Użytkownicy OpenSSL 1.0.0 powinni przeprowadzić aktualizację do wersji 1.0.0n
  • Użytkownicy OpenSSL 1.0.1 powinni przeprowadzić aktualizację do wersji 1.0.1i

źródło: itnews



Learn more about our offer

If you sell security solutions, are a distributor, authorized partner or developer and would like to share your portfolio with a group of potential customers, advertise an event, software, hardware or other services on AVLab - simply write to us. Or maybe you had to deal with ransomware? We can also help you decrypt your files.
Read more

We use Google Cloud Translation and Gengo API’s to translate articles with exception of our comparative tests.