OpenSSL fik en kritisk fejl indført på 22nd september patch

OpenSSL frigav en patch den 22. september 2016 for at adressere en masse sikkerhedshuller. Men fire dage senere, med en sikkerhedsrådgivende, holdet annoncerede det denne patch indeholder en kritisk fejl; problemet påvirker kun OpenSSL 1.1.0a.

Brug deres egne ord:

”Opdateringen anvendt til adresse CVE-2016-6307 resulterede i et problem, hvor hvis a
meddelelse større end ca. 16k modtages derefter den underliggende buffer, der skal gemmes
den indgående meddelelse omfordeles og flyttes. Desværre en dinglende markør
til den gamle placering er tilbage, hvilket resulterer i et forsøg på at skrive til
tidligere frigivet placering. Dette vil sandsynligvis resultere i et styrt, dog
kunne potentielt føre til eksekvering af vilkårlig kode. ”

Robert Święcki, der arbejder for Google Security Team, var den første rapportering om problemet til OpenSSL Project.

Selvfølgelig frigav udviklere en fast version, 1.1.0b, som enhver 1.1.0-bruger skal installere for at undgå kritiske problemer. I denne sikkerhedsrådgivning annoncerede de også en fast version af 1.0.2i, hvor CRL-sundhedscheck blev udeladt. Brugere af 1.0.2i skal opgradere til 1.0.2j.

Stillingen OpenSSL fik en kritisk fejl indført på 22nd september patch dukkede først på Unixmen.

Efterlad en kommentar

Dette websted bruger Akismet til at reducere spam. Lær, hvordan dine kommentardata behandles.