В OpenSSL и LibreSSL устранены опасные уязвимости

Александр Панасенко 04 Мая 2016 - 09:55

Средства криптографической защиты информации

...

Доступны корректирующие выпуски OpenSSL 1.0.1t и 1.0.2h, в которых отмечено 6 уязвимостей, из которых опасность двух проблем оценена как высокая. Уязвимости также затрагивают LibreSSL, исправления для которого пока доступны в виде патча. В BoringSSL такжеустранены данные уязвимости.

Первая опасная уязвимость (CVE-2016-2108) проявляется только при наличии ошибки, которая была исправлена ещё в июне 2015 года в OpenSSL 1.0.2b, 1.0.1n и 1.0.0s. Несмотря на то, что проблема актуальна только для старых необновлённых версий, она затрагивает и пакеты в дистрибутивах, основанных на старых выпусках OpenSSL. В том числе уязвимости подвержены пакеты с openssl в Debian,RHEL/CentOS/Fedora, Ubuntu и SUSE, в которые исправление не было перенесено, так как оно было квалифицировано как устранение ошибки, а не уязвимости. Уязвимость приводит к возможности повреждения памяти кодировщика ASN.1 и записи данных вне границ буфера, что теоретически может быть использовано для организации исполнения кода злоумышленника при проверке, разборе и перекодировании специально оформленных сертификатов X509, пишет opennet.ru.

Вторая опасная уязвимость (CVE-2016-2107) позволяет организовать MITM-атаку по дешифровке защищённых соединений, в которых используется шифр AES CBC, если сервер поддерживает AES-NI. Уязвимость была внесена вместе с исправлением для блокирования атак CVE-2013-0169 по анализу добавочного заполнения (padding oracle). Проблема возникла из-за потери проверки размера данных, необходимого для MAC и добавочного заполнения.

Из неопасных уязвимостей (CVE-2016-2105, CVE-2016-2106) отмечаются переполнения буфера при кодировании очень больших блоков в функциях EVP_EncodeUpdate() и EVP_EncryptUpdate(). Так как данные функции используются для внутренних целей в инструментарии командной строки, то эксплуатация уязвимостей отмечена как маловероятная из-за наличия в утилитах дополнительных проверок размера передаваемых данных, блокирующих атаку.

Проблема CVE-2016-2109 связана с возможностью осуществления отказа в обслуживании через израсходование всей доступной процессу памяти при обработке определённых данных ASN.1 в функциях BIO.

Уязвимость CVE-2016-2176 позволяет вернуть в буфере произвольные данные из стека при обработке строк ASN1 длинее 1024 байтов в функции X509_NAME_oneline() на системах EBCDIC.

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Екатерина Быстрова 06 Ноября 2025 - 14:22

Kaspersky SD-WAN Корпорации Сетевая безопасность Лаборатория Касперского

Вышла Kaspersky SD-WAN 2.5 с улучшенной масштабируемостью

«Лаборатория Касперского» выпустила обновлённую версию Kaspersky SD-WAN 2.5, предназначенного для построения и управления защищёнными корпоративными сетями. Главное изменение — повышение масштабируемости и удобства администрирования.

Теперь система поддерживает больше клиентских устройств (CPE) в одном кластере, что особенно актуально для крупных распределённых компаний.

Среди ключевых нововведений — гибкое перенаправление DNS-запросов. Теперь администраторы могут настраивать маршруты для внешних и внутренних DNS в зависимости от задач и архитектуры сети.

Это помогает оптимизировать отклик серверов и ускоряет подключение к нужным сервисам, особенно в территориально распределённых инфраструктурах.

Упростился и процесс устранения неполадок. Диагностику теперь можно проводить централизованно — без необходимости вручную подключаться к каждому устройству. Решение поддерживает фильтры для проверки протоколов BGP и OSPF, что ускоряет поиск и устранение проблем с маршрутизацией.

Кроме того, появилась возможность удалённой диагностики LTE-модулей — можно проверить уровень сигнала и другие параметры связи. Это помогает оперативно оценивать качество соединения и при необходимости перемещать оборудование для улучшения приёма.

Одно из важных обновлений — возможность вносить изменения в конфигурацию CPE по расписанию. Теперь администраторы могут планировать обновления в периоды минимальной нагрузки, снижая риск простоев и влияния на бизнес-процессы.

В новой версии также реализована балансировка между оркестраторами, что позволяет равномерно распределять нагрузку при управлении крупными сетями.

В целом обновление направлено на то, чтобы сделать эксплуатацию сетей SD-WAN удобнее, надёжнее и более управляемой, особенно в организациях с разветвлённой инфраструктурой и высоким числом филиалов.

В OpenSSL и LibreSSL устранены опасные уязвимости

Читайте также