Команда разработчиков проекта OpenSSL, задачей которого является создание и поддержание криптозащищённого канала с Вэб-серверами, объявили о наличии уязвимостей в этом довольно популярном пакете. Первая уязвимость связана с использованием нулевого указателя во внутренней функции do_change_cipher_spec(), что может позволить удалённому атакующему при организации этапа "приветствия" (handshake - начальный этап установки соединения) по SSL/TLS-протоколу при помощи специально сформированнного пакета вызвать DoS Вэб-сервера (в некоторых случаях - в IOS фирмы CISCO вызвать также перезагрузку). Многие приложения, использующие библиотеки OpenSSL также уязвимы. Вторая уязвимость связана с использованием Kerberos при организации обмена ключами по SSL/TLS-протооколу. В этом случае уязвимости подвержено меньшее количество приложений, ввиду довольно ограниченного круга использования Kerberos. Уязвимы обе ветви в данный момент поддерживаемые разработчиками - 0.9.6 и 0.9.7. Выпущены обновлённые версии - 0.9.7d и 0.9.6m. Большинство разработчиков дистрибутивов (в том числе и CISCO) выпустили собственные обновлённые версии OpenSSL.
Подробности - http://www.openssl.org/news/secadv_20040317.txt