Hlavní navigace

Zveřejněny slíbené zranitelnosti OpenSSL

Jan Fikar

Jak bylo slíbeno, dnes byly zveřejněny tři zranitelnosti OpenSSL a jejich opravy. Kritická zranitelnost CVE-2016–7054 se týká TLS se šifrou CHACHA20-POLY1305, kdy speciálně upravený vstup může shodit OpenSSL. Chybu je možné použít pouze k DoS, netýká se verzí před 1.1.0 a je opravena v dnešním 1.1.0c.

Středně závažná chyba CVE-2016–7053 se týká možného pádu aplikace s dereferencí nulového ukazatele. Stejně jako předchozí chyba se netýká verzí před 1.1.0 a je opravena v 1.1.0c.

Poslední chyba je nízké nebezpečnosti a týká se násobení na procesoru Broadwell. Zdá se, že při nejhorším může pouze selhat výměna klíče. Chyba se netýká verzí před 1.0.2, ale díky nízké nebezpečnosti ani nebyla vydána nová verze, oprava bude zahrnuta v příštím vydání. Uživatelé verze 1.1.0 mají přejít na 1.1.0c.

Našli jste v článku chybu?