19. 03. 2015

Bezpečnostní analytici, kteří se svými výzkumy podílejí na zvyšování bezpečnosti a vývoji OpenSSL, přispěli k odhalení a opravě dvou velmi závažných, deseti středně závažných a dvou mírných chyb a zranitelností v této implementaci SSL/TLS protokolů. Jednou z vážných je zranitelnost „FREAK“, o které jsme již informovali.

Postižené systémy

Zranitelné jsou knihovny v OpenSSL ve verzích 0.9.8, 1.0.0, 1.0.1 a 1.0.2.

Dopad zranitelnosti

Zneužití velmi závažných chyb a zranitelností může vést k DoS útoku na server využívající OpenSSL, nebo k dešifrování zabezpečené komunikace mezi klientem a serverem. Zneužití středně závažných chyb pak může vést ve dvou případech také k nedostupnosti služeb serveru, dále k poruchám segmentace paměti při volání různých funkcí, nebo k poškození struktury dat v paměti.

Řešení

Doporučujeme upgradovat:

OpenSSL 0.9.8 na verzi 0.9.8zf.
OpenSSL 1.0.0 na verzi 1.0.0r.
OpenSSL 1.0.1 na verzi 1.0.1m.
OpenSSL 1.0.2 na verzi 1.0.2a.

CVE

CVE-2015-0204 (FREAK)
CVE-2015-0207
CVE-2015-0208
CVE-2015-0209
CVE-2015-0285
CVE-2015-0286
CVE-2015-0287
CVE-2015-0288
CVE-2015-0289
CVE-2015-0290
CVE-2015-0291
CVE-2015-0292
CVE-2015-0293
CVE-2015-1787

Odkazy

https://www.openssl.org/news/secadv_20150319.txt