OpenSSL łatając błąd wprowadził nową podatność – zdalne wykonanie kodu!

29 września 2016, 22:36 | Aktualności | komentarzy 5
: zin o bezpieczeństwie - pobierz w pdf/epub/mobi.

Jak to mawiają – z deszczu pod rynnę. OpenSSL łatając 22 września kilka błędów, opisywanych również przez nas (możliwość realizacji DoS-ów), wprowadził nową podatność – oznaczoną jako Critical.

The patch applied to address CVE-2016-6307 resulted in an issue where if a message larger than approx 16k is received then the underlying buffer to store the incoming message is reallocated and moved. (…) This is likely to result in a crash, however it could potentially lead to execution of arbitrary code.

Podatność zgłosił nasz rodak, Robert Święcki, a bug został załatany w 3 dni.

Aż strach pomyśleć, że jeszcze spora część globalnego ruchu https opiera się o openssl…

–ms

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. skirge

    Co proponujecie zamiast openssl?

    Odpowiedz
    • DaBomb

      Dopisuje się do pytania.

      Odpowiedz
  2. s

    Jeszcze?

    Odpowiedz
  3. bdg

    No dobrze, to jako programista czego mam zacząć używać?

    Odpowiedz
  4. mic

    A LibreSSL nie nadaje się jeszcze do używania?

    Odpowiedz

Odpowiedz