![Ferestrele din meniul de pornire Windows 10 lipsesc / nuanțează, ce se poate face?](/f/7dde906ba09627e6cf2ba9a4a8b0816c.png?width=100&height=100)
OpenSSL este un proiect open source care oferă un set de instrumente robust, comercial și complet dotat pentru protocoalele Transport Layer Security (TLS) și Secure Sockets Layer (SSL). Este, de asemenea, o bibliotecă de criptografie cu scop general și recent OpenSSL a remediat șase defecte severe.
[dropcap] Marți, 3 mai, OpenSSL lansează șase patch-uri pentru vulnerabilitățile din OpenSSL, inclusiv două periculoase (CVE-2016-2108 și CVE-2016-2107). Prin urmare, aceste defecte pot duce la decriptarea traficului, atacuri de refuz de serviciu și executarea arbitrară a codului.
Vulnerabilitatea CVE-2016-2108 este o problemă cu parserul ASN.1 care declanșează o scurgere sub tampon și efectuează o scriere în afara limitelor dacă zero este reprezentat ca un negativ valorează și afectează versiunea OpenSSL, lansată înainte de aprilie 2015 și constă din două erori nesemnificative, care împreună ar putea reprezenta o problemă serioasă amenințare. În anumite condiții, un atacator poate executa cod irațional de la distanță. A doua vulnerabilitate periculoasă (CVE-2016-2107) permite efectuarea atacului „om în mijloc” și decriptarea datelor.
Cu toate acestea, a existat o eroare fără legătură în care analizorul ASN.1 ar putea interpreta greșit o etichetă universală mare ca o valoare zero negativă. După cum a scris echipa OpenSSL, „S-a demonstrat că acest lucru provoacă corupția memoriei, care este potențial exploatabilă cu unele implementări malloc”.
Defecțiunea, CVE-2016-2105 și CVE-2016-2106 afectează funcția EVP_EncodeUpdate. După cum sa raportat în buletinul de securitate, șansele ca codul să fie executat de la distanță sunt foarte mici. Vulnerabilitatea CVE-2016-2109 poate provoca distribuirea unor cantități mari de memorie, ceea ce va duce la consumul excesiv de resurse sau la depășirea memoriei. OpenSSL a remediat, de asemenea, o problemă de umplere a oracolului, în care atacatorii puteau corupe umplerea textului simplu în jurul mesajelor criptate și decripta traficul.
Ultimul defect de severitate scăzută CVE-2016-2176 este o vulnerabilitate care vă permite să apelați la o suprasarcină Funcția X509_NAME_oneline () utilizând sistemele EBCDIC, rezultând într-un atacator, poate recupera o parte din date. Cu toate acestea, această cantitate de date este aproape inutilă pentru atacator.