Обновление безопасности для OpenSSL стало причиной появления еще одной уязвимости

Обновление безопасности для OpenSSL стало причиной появления еще одной уязвимости

Администраторам, на прошлой неделе установившим обновления, нужно снова установить патч.

На прошлой неделе OpenSSL Project выпустил исправления для целого ряда уязвимостей. Как оказалось, патч для CVE-2016-6307 стал причиной появления еще одной уязвимости – CVE-2016-6309. Согласно уведомлению OpenSSL Project, при получении сообщения длиной свыше 16 тыс. символов буфер, сохраняющий входящее сообщение, перераспределяется и перемещается.

«К сожалению, осталась висячая ссылка на старую область памяти, что приводит к попыткам записи в ранее освобожденную область. Это может стать причиной аварийного завершения работы и выполнения произвольного кода», - говорится в уведомлении.

Пользователям OpenSSL 1.1.0 необходимо установить версию 1.1.0b. Данное обновление получило критический рейтинг опасности.

OpenSSL Project исправил еще одну уязвимость, CVE-2016-7052, затрагивающую исключительно OpenSSL 1.0.2i. «Исправление ошибки, связанной с проверкой при помощи списка отозванных сертификатов (CRL), было добавлено в OpenSSL 1.1.0, но исключено из OpenSSL 1.0.2i. Как результат, любая попытка использовать CRL вызовет аварийное завершение работы с null pointer exception», - сообщается в уведомлении.

Пользователи OpenSSL 1.0.2i должны установить версию 1.0.2j. Обновление получило средний рейтинг опасности.

Устали от того, что Интернет знает о вас все?

Присоединяйтесь к нам и станьте невидимыми!