OpenSSL Project выпустил патч своего пакета для шифрования с открытым исходным кодом с целью исправления недавно обнаруженной уязвимости POODLE SSL и других. Обновления доступны для OpenSSL 0.9.8zc, 1.0.0o и 1.0.1j.
Всего специалисты OpenSSL в самой свежей версии популярной криптографической библиотеки исправили 4 уязвимости, одна из которых была квалифицирована как уязвимость с высокой степенью опасности.
Две были связаны с POODLE (Padding Oracle On Downgraded Legacy Encryption), позволявшей получить данные, такие как куки-файлы через безопасное соединение. Еще две иниицировали утечки памяти и открывали возможность для DoS-атаки.
Как сообщается в научно-исследовательской работе, опубликованной во вторник экспертами по безопасности Google Бодо Моллером, Таем Дуоном и Кшиштофом Котовичем, POODLE стал результатом проблемы в 15-летней версии 3.0 протокола SSL. Хотя многие сайты перешли на использование Transport Layer Security (TLS) -протокола, основные веб-браузеры, чреди которых Chrome и Firefox, по-прежнему обеспечивают поддержку SSL 3.0 в случаях, когда они не могут подключиться к серверу с использованием более современного протокола.
Автор: Sager