Разработчики OpenSSL устранили две серьезные уязвимости

Александр Панасенко 01 Февраля 2016 - 15:00

Средства криптографической защиты информации

...

В конце прошлой недели разработчики проекта OpenSSL представили исправление двух уязвимостей, одна из которых была оценена как критическая. Проблемы распространялись на версии OpenSSL 1.0.1 и 1.0.2, поэтому было представлено два новых релиза: 1.0.1r и 1.0.2f.

Критическая уязвимость получила идентификатор CVE-2016-0701 и была обнаружена в версии 1.0.2. Брешь относилась к работе алгоритма Диффи-Хеллмана (DH): как оказалось, в некоторых случаях серверы использовали одни и те же, повторяющиеся простые числа, что значительно ослабляло криптографию. Злоумышленник мог совершить множество «рукопожатий» с уязвимой машиной и, фактически, по кусочкам собрать ключ дешифровки, пишет xakep.ru.

Корень проблемы скрывался в опции SSL_OP_SINGLE_DH_USE, которая была отключена по умолчанию. Вышедший патч переводит SSL_OP_SINGLE_DH_USE во включенное по умолчанию состояние, то есть сервер более не будет использовать одну и ту же секретную экспоненту DH. Стоит отметить, что многие популярные приложения не были подвержены данной проблеме и до выхода исправления. Так, разработчики Apache уже давно включили SSL_OP_SINGLE_DH_USE сами.

Вторая, менее опасная уязвимость получила идентификатор CVE-2015-3197 и затрагивает как версию 1.0.2, так и 1.0.1. Баг позволял злоумышленнику принудительно понизить SSLv3-соединение до менее надежного SSLv2 через SSL_OP_NO_SSLv2. Атаку можно было осуществить, даже если SSLv2 шифрование отключено на сервере вовсе.

Следующая главная новость »

Подписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Екатерина Быстрова 18 Апреля 2024 - 10:31

Windows Ошибки конфигурации программ Домашние пользователи Корпорации Microsoft

Copilot не собирает данные в Windows Server, утверждает Microsoft

Как заявили в Microsoft, софт Copilot, который по ошибке добавился в список установленных приложений Windows Server 2025, не собирает и не передаёт пользовательские данные на серверы корпорации.

Разработчики в этом году начали тестировать Copilot в предварительных сборках ОС Windows Server 2025. После возмущения сисадминов Microsoft пришлось убрать приложение из этих билдов.

Однако недавно ряд администраторов заметил новую программу Microsoft Copilot размером 8 Кбайтов, которая внезапно появилось в списке установленного софта. Позже в корпорации уточнили, что проблема затрагивает Windows 10 22H2, Windows 11 21H2 и более поздние версии.

«Обновление браузера Edge под номером 123.0.2420.65, выпущенное 28 марта 2024 года, может устанавливать новый пакет (MSIX) под названием “Microsoft chat provider for Copilot in Windows“, что приводит к некорректному отображению Microsoft Copilot в списке установленных программ», — уточнили девелоперы.

В Microsoft особо подчеркнули, что указанный Copilot не собирает и не передаёт корпорации никакие пользовательские данные. Запустить приложение также не получится.