Исправлена серьезная DoS-уязвимость в OpenSSL

Исправлена серьезная DoS-уязвимость в OpenSSL

Исправлена серьезная DoS-уязвимость в OpenSSL

OpenSSL Project выпустили обновления для ветки 1.1.0, в которых исправляются несоклько уязвимостей. В их числе серьезная брешь, приводящая к DoS, сообщает эксперт по безопасности Google.

Всего в версии исправляются три дыры в безопасности. Самая серьезная из них отслеживается как CVE-2016-7054, связана с переполнением буфера при TLS-соединении с использованием шифра *-CHACHA20-POLY1305. Это может привести к отказу в обслуживании (DoS).

Разработчики OpenSSL были уведомлены об ошибке 25 сентября. Согласно им, уязвимость не затрагивает версии до 1.1.0. 

Также обновление исправляет недостаток средней степени тяжести, который может привести к сбою приложения (CVE-2016-7053). Эта проблема также затрагивает только версию 1.1.0.

Кроме того, OpenSSL 1.1.0c устраняет брешь низкой степени опасности CVE-2016-7055. Изначально эта уязвимость не рассматривалась как проблема безопасности, но эксперты продемонстрировали, что ее можно эксплуатировать.

OpenSSL Project еще раз напомнили пользователям, что версия 1.0.1 не будет поддерживаться после 31 декабря 2016 года.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Московские школы начали требовать от учеников и родителей установки MAX

В некоторых московских школах от учеников и их родителей стали требовать обязательной установки мессенджера MAX, который должен прийти на смену платформе «Сферум», ранее использовавшейся для информационного сопровождения учебного процесса. При этом Москва не включена в список регионов, где официально проводится пилотный запуск MAX в образовательных учреждениях.

Как сообщает издание «Москвич Mag», требования об установке мессенджера стали появляться в родительских чатах и на форумах. В сообщениях от имени администрации школ говорится, что установка MAX является обязательной до 1 августа.

Такая инициатива вызвала недовольство части родителей. При этом официальных разъяснений от Министерства просвещения и Минцифры по поводу законности подобных требований пока не поступало. Автор публикации также отмечает, что остаётся неясным, имеют ли такие предписания юридическую силу.

«Главная проблема — не санкции, а возможное выпадение из информационного потока. Если отказ от MAX принципиален, стоит заранее договориться со школой о компромиссном варианте», — такой комментарий дал «Коммерсанту Волга-Урал» партнёр юридической компании «Яхатин» Антон Смирнов.

Тем временем Москва не входит в перечень субъектов, участвующих в пилотной фазе внедрения MAX. Как уточнило Министерство просвещения, пилотный проект охватывает Владимирскую и Тверскую области, Ханты-Мансийский автономный округ, а также республики Алтай, Марий Эл и Татарстан. Предусмотрена интеграция функций MAX и платформы «Сферум».

«Насчёт MAX снова приходят сообщения от учителей: якобы от чиновников управления образования поступают распоряжения директорам обеспечить 100-процентную регистрацию в этом мессенджере. Люди не горят желанием, снова вся ответственность ложится на учителей, классных руководителей — а весь негатив родителей снова пойдёт на них. Это, конечно, безобразие. Учителя становятся проводниками этих решений, и уровень недоверия между родителями и педагогами только растёт», — прокомментировал ситуацию радиостанции Business FM учитель истории и обществознания, председатель профсоюза «Учитель» Дмитрий Казаков.

По оценке Дмитрия Казакова, как и в случае с навязыванием платформы «Сферум», которую многие родители критиковали за неудобство и сложность регистрации, активное продвижение мессенджера MAX может привести к росту конфликтов между родителями, администрацией и педагогами.

При этом вокруг MAX уже возник ряд вопросов. В частности, эксперты указывают на передачу данных за рубеж, использование компонентов из недружественных стран, злоупотребления в мошеннических схемах и фишинговые атаки. Также серьёзные опасения вызывает политика конфиденциальности мессенджера.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru