В OpenSSL исправлены шесть уязвимостей


OpenSSLВчера, во вторник, 3 мая, было выпущено шесть патчей для уязвимостей в OpenSSL, две из которых расцениваются как опасные (CVE-2016-2108 и CVE-2016-2107).

CVE-2016-2108 - опасная уязвимость, затрагивающая версии OpenSSL, выпущенные до апреля 2015 года, состоит из двух самих по себе несущественных ошибок, которые вместе могут представлять серьезную угрозу. Эксплуатация возможна при определенных условиях, позволив злоумышленнику удаленно выполнить код.

CVE-2016-2107 - опасная уязвимость, позволяющая осуществить атаку "человек посередине" и расшифровать данные.

CVE-2016-2105, CVE-2016-2106 - затрагивают функцию EVP_EncodeUpdate(). Эксплуатация данных уязвимостей и удаленное выполнение кода - практически не реально.

CVE-2016-2109 - уязвимость, позволяющая вызвать распределение больших объемов памяти, что приведет к чрезмерному потреблению ресурсов или переполнению памяти.

CVE-2016-2176 - позволяет вызывать перегрузку функции X509_NAME_oneline() в системах с использованием EBCDIC. Это позволяет атакующему получить обратно некоторую часть данных. Тем не менее, такой объем данных практически бесполезен для злоумышленника.


Обновлено (04.05.2016 23:33)