Hlavní navigace

Dle plánu byly vydány OpenSSL 1.0.2d a 1.0.1p

Michal Strnad

Dle plánu vydal vývojový tým OpenSSL dvě nové verze kryptografické knihovny OpenSSL. Konkrétně se jedná o verze 1.0.2d a 1.0.1p. Řeší pouze jednu bezpečnostní chybu s označením CVE-2015–1793, která je klasifikována jako „vysoce kritická“. Větve 1.0.0 a 0.9.8 chybu neobsahují.

Během verifikace certifikátu se OpenSSL (verze od 1.0.1n a 1.0.2b) snaží najít alternativní řetězec certifikátů, pokud první pokus selže. Chyba CVE-2015–1793 se nachází v implementaci zmíněné logiky a může být útočníkem zneužita, aby zabezpečení obešel.

Chybu nahlásili 24. června 2015 vývojáři BoringSSL (SSL / TLS implementace od Google) lidem z OpenSSL.

Našli jste v článku chybu?