Разработчики OpenSSL выпустили исправления безопасности

Автор: Александр Антипов

Как следует из опубликованного разработчиками OpenSSL уведомления , их последние исправления безопасности действительно устраняют критическую уязвимость, однако она не является аналогом Heartbleed или POODLE, который ожидали увидеть многие IT-эксперты. Как выяснилось, речь идет о бреши, затрагивающей только версию 1.0.2 и позволяющей удаленному пользователю вызвать отказ в обслуживании.

Свыше десятка других  уязвимостей , выявленных в популярной криптобиблиотеке, имеют еще меньший уровень опасности – девять помечены, как бреши «среднего» рейтинга опасности, а оставшимся трем присвоен «низкий» уровень.

«Упомянутая DoS-атака, становится возможной на стороне клиента или сервера в результате некорректной конфигурации сертификата, - поясняет исследователь Рич Салз (Rich Salz). – Однако, согласно нашей текущей политике безопасности, такой отказ в обслуживании является критической проблемой».

Такое отношение к обеспечению бесперебойной работы OpenSSL было выработано в компании еще осенью прошлого года, когда разработчики решили выпускать некоторые исправления безопасности вне очереди. Речь идет о тех обновлениях, которые устраняют уязвимости, позволяющие осуществить DoS-атаку, спровоцировать утечку памяти или удаленно выполнить произвольный код.