Nova verzija OpenSSL-a
OpenSSL Project je najavio nova ažuriranja za OpenSSL. Verzije 1.1.0a. 1.0.2i i 1.0.1u otklanjaju više ranjivosti.
Jedna od kritičnih ranjivosti je označena sa CVE-2016-6304 i može se iskoristiti za DoS napade. Napadač može eksploatisati ovu ranjivost ako pošalje veliki statusni zahtjev za OCSP (Online Certificate Status Protocol), što može dovesti do preopterećenja memorije.
Iz OpenSSL-a su izjavili da ova ranjivost pogađa podrazumijevana podešavanja njihovih servera čak i kad nemaju podršku za OCSP.
Pored ove ranjivosti otklonjeno je 12 manje ozbiljnih ranjivosti među kojima je Sweet32. Ova ranjivost označena sa CVE-2016-2183 omogućava napada na 64 bitne blok šifre u TLS-u i OpenVPN-u.
Eksploatacija zahtjeva praćenje dugih HTTPS sesija, na osnovu kojih bi napadač bio u mogućnosti da preuzme HTTP cookie u slučaju da presretne dovoljnu količinu saobraćaja.
Izvor:www.securityweek.com