В OpenSSL устранена серьезная уязвимость
В конце прошлой недели разработчики проекта OpenSSL представили исправление двух уязвимостей, одна из которых была оценена как критическая.
Проблемы распространялись на версии OpenSSL 1.0.1 и 1.0.2, поэтому было представлено два новых релиза: 1.0.1r и 1.0.2f. Критическая уязвимость получила идентификатор CVE-2016-0701 и была обнаружена в версии 1.0.2. Брешь относилась к работе алгоритма Диффи-Хеллмана (DH): как оказалось, в некоторых случаях серверы использовали одни и те же, повторяющиеся простые числа, что значительно ослабляло криптографию. Злоумышленник мог совершить множество «рукопожатий» с уязвимой машиной и, фактически, по кусочкам собрать ключ дешифровки. Корень проблемы скрывался в опции SSL_OP_SINGLE_DH_USE, которая была отключена по умолчанию. Вышедший патч переводит SSL_OP_SINGLE_DH_USE во включенное по умолчанию состояние, то есть сервер более не будет использовать одну и ту же секретную экспоненту DH. Стоит отметить, что многие популярные приложения не были подвержены данной проблеме и до выхода исправления. Так, разработчики Apache уже давно включили SSL_OP_SINGLE_DH_USE сами. Вторая, менее опасная уязвимость получила идентификатор CVE-2015-3197 и затрагивает как версию 1.0.2, так и 1.0.1. Баг позволял злоумышленнику принудительно понизить SSLv3-соединение до менее надежного SSLv2 через SSL_OP_NO_SSLv2. Атаку можно было осуществить, даже если SSLv2 шифрование отключено на сервере вовсе.
IT Education Center проводит набор групп на обучение по различным IT направлениям.
- Администрирование Linux (Начальный, Средний, Высокий уровни) Программа курса - https://iteducenter.ua/services/obuchenie/kursy-linux-administrirovanija.html
- IP-телефония Asterisk. Программа курса - https://iteducenter.ua/services/obuchenie/asterisk/programma-kursa-ip-telefonija-asterisk.html
- Cisco сертификация (CCENT, CCNA). Программа курса - https://iteducenter.ua/services/obuchenie/podgotovka-k-sertifikacii-cisco.html
- Администрирование баз данных MySQL. Программа курса - https://iteducenter.ua/services/obuchenie/administrirovanie-baz-dannyh/administrirovanie-mysql.html
- Администрирование Atlassian Jira. Программа курса - https://iteducenter.ua/services/obuchenie/produkty-kompanii-atlassian/programma-kursa-administrirovanija-atlassian-jira.html
Запись в группу: https://iteducenter.ua/apply
Контакты:
Тел.: [відкрити контакти], [відкрити контакти], [відкрити контакти]
Вебсайт: www.iteducenter.ua
Vkontakte: https://vk.com/iteducenter
Facebook: https://www.facebook.com/iteducenterua
Google Plus: https://plus.google.com/+IteducenterUaKiev
Twitter: https://twitter.com/it_edu_center
Коментарі
Невірно заповнені поля відзначені червоним.
Будь ласка, перевірте форму ще раз.
Ваш коментар відправлений і буде доступний на сайті після перевірки адміністратором.
Інші статті в категорії Новини