В OpenSSL исправлена опасная DoS-уязвимость

Разработчики OpenSSL выпустили обновление безопасности для криптографической библиотеки OpenSSL, устраняющее опасную DoS-уязвимость ( CVE-2020-1967 ). Эксплуатация уязвимости позволяет злоумышленнику осуществлять атаки типа «отказ в обслуживании» (DoS). Это первая проблема, обнаруженная в OpenSSL в 2020 году.

Уязвимость CVE-2020-1967 представляет собой «ошибку сегментации» в функции SSL_check_chain. Серверные или клиентские приложения, вызывающие функцию SSL_check_chain () во время или после TLS-рукопожатия (версии 1.3), могут аварийно прекратить работу из-за разыменования нулевого указателя в результате неправильной обработки TLS-расширения «signature_algorithms_cert». Сбой происходит, если от однорангового узла получен неверный или нераспознанный алгоритм подписи. Это может быть использовано злоумышленником для осуществления DoS-атак.

Уязвимость затрагивает версии OpenSSL 1.1.1d, 1.1.1e и 1.1.1f. Проблема исправлена ​​с выпуском версии 1.1.1g. Как отметили разработчики, более ранние версии 1.0.2 и 1.1.0 не содержат данную уязвимость.