Разработчики OpenSSL выпустили новые версии (1.0.2a, 1.0.1m, 1.0.0r и 0.9.8zf), исправив 14 уязвимостей, многие из которых имеют высокий уровень угрозы. Среди "критических" уязвимостей, возможность "отказа от обслуживания" (CVE-2015-0291) из-за недостаточного контроля данных при разборе параметров цифровой подписи; обнаружена в версии 1.0.2. Вторая "критическая" уязвимость (CVE-2015-0204) была исправлена еще в январе, но тогда FREAK-атаки через возможности EXPORT_RSA не воспринимались серьезно и поэтому обновление имело низкий уровень угроз. В текущем обновление статус повысился до "критического" и затронул все поддерживаемые версии OpenSSL 1.0.1, 1.0.0 и 0.9.8. Еще 9 уязвимостей имеют "умеренный" уровень угроз, такие уязвимости могут вызвать сбой в работе приложения через повреждение памяти. Исправления затронули функции работы с многокомпонентными данными, также разработчики добавили несколько фильтров для контроля параметров обрабатываемых данных. При анализе исправленных уязвимостей, создается впечатление, что разработчики OpenSSL совсем не предусматривали возможность пустых или NULL-значений в обрабатываемых данных. Между тем, перейдя на более частые обновления, разработчики пытаются вернуть доверие к своему программному продукту. Новые версии OpenSSL доступны на веб-сайте разработчиков и репозиториях приложений операционных систем.
Источник