OpenSSL виправлено критичний недолік, введений у патч 22th September

OpenSSL випустив патч на 22 вересня 2016 для вирішення багатьох проблем з безпекою. Але чотири дні пізніше, з a консультування з питань безпеки, команда оголосила це цей патч містить критичний недолік; проблема впливає тільки на OpenSSL 1.1.0a.

Використовуючи свої власні слова:

"Патч, застосований до адреси CVE-2016-6307, викликав проблему, якщо a
Повідомлення, що перевищує приблизно 16k, отримує потім основний буфер для зберігання
вхідне повідомлення перерозподіляється та переміщується. На жаль, водія покажчик
до старого розташування, що призводить до спроби записати на адресу
раніше вільне місце розташування Це, швидше за все, призведе до аварії, однак це
може потенційно призвести до виконання довільного коду ".

Роберт Сьвєнккі, який працює в команді Google Security, першим повідомив про проблему в OpenSSL Project.

Звичайно, розробники випустили фіксовану версію 1.1.0b, яку кожен користувач 1.1.0 повинен встановити, щоб уникнути критичних проблем. У цій консультативній підтримці безпеки вони також оголосили фіксовану версію 1.0.2i, в якій перевірка працездатності CRL була опущена. Користувачам 1.0.2i слід оновити до 1.0.2j.

Повідомлення OpenSSL виправлено критичний недолік, введений у патч 22th September вперше з'явився на Unixmen.

залишити коментар

Цей сайт використовує Akismet для зменшення спаму. Дізнайтеся, як обробляються ваші дані коментарів.