The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

28.03.2018 11:29  Обновление OpenSSL 1.1.0h и 1.0.2o с устранением уязвимостей

Доступны корректирующие выпуски криптографической библиотеки OpenSSL 1.0.2o и 1.1.0h, в которых устранены три уязвимости, из которых одна отмечена как неопасная (CVE-2017-3738), а две (CVE-2018-0739, CVE-2018-0733) отнесены к категории проблем среднего уровня опасности.

  • CVE-2018-0739 - обработка рекурсивных структур в ASN.1 (например, применяются в PKCS7) может привести к переполнению стека и отказу в обслуживании при обработке определённым образом оформленных входных данных. Проблема не затрагивает SSL/TLS;
  • CVE-2018-0733 - ошибка в реализации функции CRYPTO_memcmp для архитектуры HP-UX PA-RISC приводит к участию в сравнении только одного старшего бита для каждого байта. Проблему можно использовать для формирования подставных сообщений, которые будут обрабатываться как аутентифицированные;
  • CVE-2017-3738 - переполнение в процедуре rsaz_1024_mul_avx2. Проблема проявляется только на системах x86_64 с поддержкой инструкций AVX2, но без расширений ADX (например, Intel Haswell). Проблема не затрагивает алгоритмы на основе эллиптических кривых и потенциально может применяться для атаки на DH1024, RSA и DSA, но очень трудна в эксплуатации и требует значительных ресурсов.

Дополнительно можно отметить уязвимость в библиотеке WolfSSL (ранее CyaSSL), которая устранена в версии 3.13.0. Проблема вызвана переполнением буфера в коде разбора списка алгоритмов хэширования, передаваемом в пакете ClientHello, и может быть использована для вызова краха серверного процесса при указании более 32 алгоритмов хэширования.

  1. Главная ссылка к новости (https://www.mail-archive.com/o...)
  2. OpenNews: Альфа-выпуск OpenSSL 1.1.1 с поддержкой TLS 1.3
  3. OpenNews: На соревновании Pwn2Own 2018 появились номинации за взлом nginx, OpenSSL и Virtualbox
  4. OpenNews: Обновление OpenSSL 1.1.0g и 1.0.2m с устранением уязвимостей
  5. OpenNews: OpenSSL переходит на новую лицензию, совместимую с GPL
  6. OpenNews: Обновление OpenSSL 1.1.0e с устранением уязвимости
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: openssl, wolfssl
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение RSS
 
  • 1, ryoken, 07:31, 29/03/2018 [ответить] [смотреть все]    [к модератору]
  • +/
    ...Почему такая важная в общем вещь в мини-новостях?
     
     
  • 2, Andrey Mitrofanov, 09:41, 29/03/2018 [^] [ответить] [смотреть все]    [к модератору]
  • +1 +/
    > ...Почему такая важная в общем вещь в мини-новостях?

    http://i.imgur.com/lc8Jihv.jpg

     
  • 3, Аноним, 11:30, 29/03/2018 [^] [ответить] [смотреть все]     [к модератору]
  • +/
    И что там важного Минорное обновление с исправлением незначительных уязвимостей... весь текст скрыт [показать]
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor