Обновление OpenSSL

18/11/2010 09:49

Представлены корректирующие релизы библиотеки с реализацией протоколов SSL/TLS - OpenSSL 0.9.8p и 1.0.0b с устранением опасной уязвимости, которая может привести к осуществлению DoS-атаки или выполнению кода злоумышленника на сервере, сообщает opennet.ru. Пользователям рекомендуется как можно скорее установить обновление, так как удаленный злоумышленник может атаковать использующее OpenSSL серверное приложение и при удачном стечении обстоятельств выполнить свой код с правами данного приложения. Проблема присутствует в серверном TLS-расширении и связана с ошибкой в коде парсера, приводящей к переполнению буфера при возникновении состояния гонки (race condition). Уязвимости подвержены только конфигурации, работающие в многопоточном режиме и использующие внутренний механизм кэширования в OpenSSL. Проблеме не подвержены серверы, обрабатывающие запросы разными процессами или не использующие внутренний кэш (например, уязвимости не подвержены Apache и Stunnel). Исправление в настоящий момент выпущено только для Red Hat Enterprise Linux 6 (в более ранних версиях RHEL проблема не проявляется, уязвимость присутствует начиная с релиза OpenSSL 0.9.8f). Состояние подготовки исправлений для других операционных систем можно отследить на следующих страницах: Slackware, Gentoo, Mandriva, openSUSE, FreeBSD, OpenBSD, NetBSD, CentOS, Fedora, Debian и Ubuntu
Источник