The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Обновление OpenSSL 1.1.0h и 1.0.2o с устранением уязвимостей

28.03.2018 11:29

Доступны корректирующие выпуски криптографической библиотеки OpenSSL 1.0.2o и 1.1.0h, в которых устранены три уязвимости, из которых одна отмечена как неопасная (CVE-2017-3738), а две (CVE-2018-0739, CVE-2018-0733) отнесены к категории проблем среднего уровня опасности.

  • CVE-2018-0739 - обработка рекурсивных структур в ASN.1 (например, применяются в PKCS7) может привести к переполнению стека и отказу в обслуживании при обработке определённым образом оформленных входных данных. Проблема не затрагивает SSL/TLS;
  • CVE-2018-0733 - ошибка в реализации функции CRYPTO_memcmp для архитектуры HP-UX PA-RISC приводит к участию в сравнении только одного старшего бита для каждого байта. Проблему можно использовать для формирования подставных сообщений, которые будут обрабатываться как аутентифицированные;
  • CVE-2017-3738 - переполнение в процедуре rsaz_1024_mul_avx2. Проблема проявляется только на системах x86_64 с поддержкой инструкций AVX2, но без расширений ADX (например, Intel Haswell). Проблема не затрагивает алгоритмы на основе эллиптических кривых и потенциально может применяться для атаки на DH1024, RSA и DSA, но очень трудна в эксплуатации и требует значительных ресурсов.

Дополнительно можно отметить уязвимость в библиотеке WolfSSL (ранее CyaSSL), которая устранена в версии 3.13.0. Проблема вызвана переполнением буфера в коде разбора списка алгоритмов хэширования, передаваемом в пакете ClientHello, и может быть использована для вызова краха серверного процесса при указании более 32 алгоритмов хэширования.

  1. Главная ссылка к новости (https://www.mail-archive.com/o...)
  2. OpenNews: Альфа-выпуск OpenSSL 1.1.1 с поддержкой TLS 1.3
  3. OpenNews: На соревновании Pwn2Own 2018 появились номинации за взлом nginx, OpenSSL и Virtualbox
  4. OpenNews: Обновление OpenSSL 1.1.0g и 1.0.2m с устранением уязвимостей
  5. OpenNews: OpenSSL переходит на новую лицензию, совместимую с GPL
  6. OpenNews: Обновление OpenSSL 1.1.0e с устранением уязвимости
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/48343-openssl
Ключевые слова: openssl, wolfssl
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (3) RSS
  • 1, ryoken (ok), 07:31, 29/03/2018 [ответить]  
  • +/
    ...Почему такая важная в общем вещь в мини-новостях?
     
     
  • 2, Andrey Mitrofanov (?), 09:41, 29/03/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > ...Почему такая важная в общем вещь в мини-новостях?

    http://i.imgur.com/lc8Jihv.jpg

     
  • 3, Аноним (-), 11:30, 29/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > ...Почему такая важная в общем вещь в мини-новостях?

    И что там важного? Минорное обновление с исправлением незначительных уязвимостей. Такие каждый месяц выходят.

     
     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру