Разработчики OpenSSL Project на минувшей неделе выпустили патчи для целого ряда ошибок. Выяснилось, что исправление одной уязвимости стало причиной возникновение новой проблемы.
Как сообщают представители OpenSSL Project, при получении сообщения, длина которого превышает 16000 символов, происходит перераспределение и перемещение буфера, сохраняющего входящее сообщение.
В уведомлении OpenSSL Project сообщается о сохранении ссылки на старую область памяти, что влечет попытки записи туда данных. Это может спровоцировать аварийное завершение работы, а также позволить хакерам выполнять произвольный код. По словам экспертов, пользователи OpenSSL 1.1.0 должны установить версию 1.1.0b.
Кроме того, специалистами OpenSSL Project была исправлена еще одна уязвимость, которая затрагивает OpenSSL 1.0.2i. По словам экспертов, патч для ошибки, относящейся к процедуре проверки с помощью списка отозванных сертификатов (CRL), был добавлен в OpenSSL 1.1.0 и исключен из версии 1.0.2i. В результате любая попытка использования CRL спровоцирует аварийное завершение работы с null pointer exception. Пользователям OpenSSL 1.0.2i необходимо осуществить установку версии 1.0.2j.