В OpenSSL и LibreSSL устранены опасные уязвимости
Главная » Новости
Security Vision Next Generation SGRCУзнайте, как на первой в России платформе с ИИ построено комплексное решение для задач стратегической безопасности. Security Vision SGRC объединяет ресурсно-сервисную модель и десятки методик для моделирования угроз, оценки рисков, непрерывности бизнеса, аудита и комплаенса. NG SGRC подходит для компаний с требованиями кастомизации благодаря Low-code конструкторам платформы и мультиарендности. Для среднего и малого бизнеса предусмотрены дополнительные варианты SGRC Basic и SGRC SaaS.→ Ознакомиться
Реклама, 18+. ООО «Интеллектуальная Безопасность», ИНН 7719435412

В OpenSSL и LibreSSL устранены опасные уязвимости

Александр Панасенко 04 Мая 2016 - 09:55
...

Доступны корректирующие выпуски OpenSSL 1.0.1t и 1.0.2h, в которых отмечено 6 уязвимостей, из которых опасность двух проблем оценена как высокая. Уязвимости также затрагивают LibreSSL, исправления для которого пока доступны в виде патча. В BoringSSL такжеустранены данные уязвимости.

Первая опасная уязвимость (CVE-2016-2108) проявляется только при наличии ошибки, которая была исправлена ещё в июне 2015 года в OpenSSL 1.0.2b, 1.0.1n и 1.0.0s. Несмотря на то, что проблема актуальна только для старых необновлённых версий, она затрагивает и пакеты в дистрибутивах, основанных на старых выпусках OpenSSL. В том числе уязвимости подвержены пакеты с openssl в Debian,RHEL/CentOS/Fedora, Ubuntu и SUSE, в которые исправление не было перенесено, так как оно было квалифицировано как устранение ошибки, а не уязвимости. Уязвимость приводит к возможности повреждения памяти кодировщика ASN.1 и записи данных вне границ буфера, что теоретически может быть использовано для организации исполнения кода злоумышленника при проверке, разборе и перекодировании специально оформленных сертификатов X509, пишет opennet.ru.

Вторая опасная уязвимость (CVE-2016-2107) позволяет организовать MITM-атаку по дешифровке защищённых соединений, в которых используется шифр AES CBC, если сервер поддерживает AES-NI. Уязвимость была внесена вместе с исправлением для блокирования атак CVE-2013-0169 по анализу добавочного заполнения (padding oracle). Проблема возникла из-за потери проверки размера данных, необходимого для MAC и добавочного заполнения.

Из неопасных уязвимостей (CVE-2016-2105, CVE-2016-2106) отмечаются переполнения буфера при кодировании очень больших блоков в функциях EVP_EncodeUpdate() и EVP_EncryptUpdate(). Так как данные функции используются для внутренних целей в инструментарии командной строки, то эксплуатация уязвимостей отмечена как маловероятная из-за наличия в утилитах дополнительных проверок размера передаваемых данных, блокирующих атаку.

Проблема CVE-2016-2109 связана с возможностью осуществления отказа в обслуживании через израсходование всей доступной процессу памяти при обработке определённых данных ASN.1 в функциях BIO.

Уязвимость CVE-2016-2176 позволяет вернуть в буфере произвольные данные из стека при обработке строк ASN1 длинее 1024 байтов в функции X509_NAME_oneline() на системах EBCDIC. 

Следующая главная новость »
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

СКДПУ НТ 2.3.3 получила менеджер паролей и новые функции кастомизации
Екатерина Быстрова 06 Ноября 2025 - 19:08
Система контроля действий поставщиков ИТ-услуг (СКДПУ НТ) Корпорации Контроль привилегированных пользователей (PAM) АйТи БАСТИОН
СКДПУ НТ 2.3.3 получила менеджер паролей и новые функции кастомизации

Компания «АйТи Бастион» представила новую версию своей PAM-системы СКДПУ НТ 2.3.3. Обновление включает встроенный менеджер паролей «Персональные сейфы» и расширенные возможности кастомизации интерфейса через подсистему Портал доступа.

Новый модуль «Персональные сейфы» позволяет централизованно хранить пароли, ключи и сертификаты, контролировать сроки их действия и качество, а также безопасно делиться доступами между сотрудниками и командами.

В систему встроен генератор надёжных паролей, а управление осуществляется через единый интерфейс, что упрощает администрирование.

В обновлении также реализована возможность запускать несколько экземпляров Портала доступа с разными пользовательскими настройками на одном узле системы.

Это позволяет компаниям гибко адаптировать интерфейс под свои задачи и экономить вычислительные ресурсы. Пользователь теперь может работать с тем экземпляром портала, который связан с нужным ему сегментом сети.

Кроме того, добавлен просмотр списка всех узлов СКДПУ НТ через интерфейс головного узла, что делает администрирование более прозрачным.

Разработчики также улучшили поддержку подключений по ярлыку APP и внесли ряд изменений, направленных на повышение стабильности и удобства работы.

Обновление, по сути, делает систему более гибкой и управляемой, облегчая работу администраторов в сложных и распределённых инфраструктурах.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
Из-за вайб-кодинга доля уязвимостей в ИИ-сервисах достигла 5%
Новость
Из-за вайб-кодинга доля уязвимостей в ИИ-сервисах достигла 5...
В WhatsApp введут лимит на сообщения для борьбы со спамом
Новость
В WhatsApp введут лимит на сообщения для борьбы со спамом
Российскому рынку ПО и ИТ-услуг предсказали удвоение к 2032 году
Новость
Российскому рынку ПО и ИТ-услуг предсказали удвоение к 2032...

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2025. Все права защищены.