Nova verzija OpenSSL-a

OpenSSL Project je najavio nova ažuriranja za OpenSSL. Verzije 1.1.0a. 1.0.2i i 1.0.1u otklanjaju više ranjivosti.

Jedna od kritičnih ranjivosti je označena sa CVE-2016-6304 i može se iskoristiti za DoS napade. Napadač može eksploatisati ovu ranjivost ako pošalje veliki statusni zahtjev za OCSP (Online Certificate Status Protocol), što može dovesti do preopterećenja memorije.

Iz OpenSSL-a su izjavili da ova ranjivost pogađa podrazumijevana podešavanja njihovih servera čak i kad nemaju podršku za OCSP.

Pored ove ranjivosti otklonjeno je 12 manje ozbiljnih ranjivosti među kojima je Sweet32. Ova ranjivost označena sa CVE-2016-2183 omogućava napada na 64 bitne blok šifre u TLS-u i OpenVPN-u.

Eksploatacija zahtjeva praćenje dugih HTTPS sesija, na osnovu kojih bi napadač bio u mogućnosti da preuzme HTTP cookie u slučaju da presretne dovoljnu količinu saobraćaja.

Izvor:www.securityweek.com

Nova verzija OpenSSL-a

Nova verzija OpenSSL-a

Leave a Reply Cancel reply

MITRE CVE Twitter feed

CERTRS Kontakt informacije

Vlada republike srpske

Akademska istraživačka mreža republike srpske