Разработчики OpenSSL выпустили исправления безопасности

Среди устраненных брешей отсутствует ожидавшийся аналитиками аналог Heartbleed.

Как следует из опубликованного разработчиками OpenSSL уведомления, их последние исправления безопасности действительно устраняют критическую уязвимость, однако она не является аналогом Heartbleed или POODLE, который ожидали увидеть многие IT-эксперты. Как выяснилось, речь идет о бреши, затрагивающей только версию 1.0.2 и позволяющей удаленному пользователю вызвать отказ в обслуживании.

Свыше десятка других уязвимостей, выявленных в популярной криптобиблиотеке, имеют еще меньший уровень опасности – девять помечены, как бреши «среднего» рейтинга опасности, а оставшимся трем присвоен «низкий» уровень.

«Упомянутая DoS-атака, становится возможной на стороне клиента или сервера в результате некорректной конфигурации сертификата, - поясняет исследователь Рич Салз (Rich Salz). – Однако, согласно нашей текущей политике безопасности, такой отказ в обслуживании является критической проблемой».

Такое отношение к обеспечению бесперебойной работы OpenSSL было выработано в компании еще осенью прошлого года, когда разработчики решили выпускать некоторые исправления безопасности вне очереди. Речь идет о тех обновлениях, которые устраняют уязвимости, позволяющие осуществить DoS-атаку, спровоцировать утечку памяти или удаленно выполнить произвольный код.