Команда OpenSSL анонсировала исправление опасной уязвимости

На этой неделе будет опубликована новая версия набора OpenSSL с рядом исправлений безопасности.

«Команда проекта OpenSSL желает объявить о скором выходе версий OpenSSL 1.0.2a, 1.0.1m, 1.0.0r и 0.9.8zf. Эти релизы станут доступными 19 марта. Они исправят ряд дефектов безопасности. Наиболее опасный исправляемый дефект имеет “высокий” рейтинг», — говорится в уведомлении OpenSSL Project Team.

Таким образом, каждая поддерживаемая версия OpenSSL получит отдельный патч. Предположительно, авторы продукта намерены устранить системные ошибки, вызывающие угрозу безопасности, о которой на текущий момент публично не заявлено. Эти ошибки могут присутствовать в одном из протоколов, встроенных в набор, например, SSL/TLS (Secure Sockets Layer/Transport Layer Security) — краеугольном камне защиты веб-сервисов.

Последней опасной угрозой SSL/TLS стала уязвимость, позволявшая использовать так называемый механизм FREAK (Factoring RSA Export Keys) для обхода шифрования данных. На сегодняшний день данная уязвимость угрожает только пользователям Android-устройств.

Эксперты информационной безопасности ряда независимых организаций недавно провели детальный аудит кода OpenSSL в связи с брешью Heartbleed, обнаруженной в апреле прошлого года. Эта уязвимость поставила под вопрос безопасность многих сервисов, ранее считавшихся надёжными. Запланированные на эту неделю обновления, вероятно, являются следствием проводимых в последнее время исследований.