11.12.2020 | В OpenSSL обнаружена опасная DoS-уязвимость |
Разработчики OpenSSL Project предупредили об опасной уязвимости ( CVE-2020-1971 ) в TLS/SSL, которая подвергает пользователей риску атак типа «отказ в обслуживании». Проблема была обнаружена исследователем безопасности Дэвидом Бенджамином (David Benjamin) из Google. Она связана с некорректной работой определенной функцией, когда злоумышленник успешно запускает специальные условия. Тип X.509 GeneralName — универсальный тип для представления различных типов имен. Один из этих типов имен известен как EDIPartyName. OpenSSL предоставляет функцию GENERAL_NAME_cmp, которая сравнивает разные экземпляры GENERAL_NAME, чтобы узнать, равны они или нет. Данная функция работает некорректно, если оба GENERAL_NAME содержат EDIPARTYNAME. Разыменование нулевого указателя и сбой в работе могут привести к возможной DoS-атаке. Если злоумышленник может контролировать оба сравниваемых элемента, он способен вызвать сбой в работе, например, когда обманом заставляет клиент или сервер проверить вредоносный сертификат на соответствие списку вредоносных отозванных сертификатов. Уязвимость затрагивает версии OpenSSL 1.1.1 и 1.0.2, и пользователям настоятельно рекомендуется обновиться до версии OpenSSL 1.1.1i. |
Проверить безопасность сайта