В OpenSSL обнаружена критическая уязвимость

image

Теги: уязвимость, компрометация

Уязвимость позволяет удаленному пользователю скомпрометировать целевую систему.

Проект OpenSSL выпустил экстренный корректирующий релиз набора библиотек. В функции asn1_d2i_read_bio была обнаружена критическая уязвимость, позволяющая злоумышленнику выполнить произвольный код на целевой системе.

«Любое приложение, использующее функции, которые основаны на BIO или FILE, для чтения недоверенных данных в формате DER – является уязвимым», - говориться в уведомлении.

Как сообщает исследователь Тавис Орманд (Tavis Ormandy), уязвимость, возможно, поражает только приложения, работающие на базе 64-х разрядной версии операционной системы.

Уязвимость была раскрыта сотрудниками Google Security Team. По данным исследователей, доказательств существования эксплоита пока нет, однако его появление ожидается в скором времени. Поэтому производитель рекомендует в кратчайшие сроки обновить продукт до версии 1.0.1a, 1.0.0i или 0.9.8v.

С подробным описанием уязвимости можно ознакомиться здесь.


или введите имя

CAPTCHA
20-04-2012 16:37:25
Насколько я понял, этой баге уже год и нашел её Mark Dowd
0 |
Rachkov Igor
23-04-2012 10:59:47
"The funny thing about this is that, not only has this problem been known for a while, it's included in Mark Dowd's book, "The Art of Software Security Assessment - Identifying and Preventing Software Vulnerabilities", which was published in 2006." http://throwingfire.com/whats-old-is-new-again/
0 |
Rachkov Igor
23-04-2012 11:01:22
опубликована еще в 2006 году.... Не знаю кто точно нашел, но описал точно Марк .
0 |