В SSL нашли очередную критическую уязвимость — DROWN (CVE-2016-0800)

Иллюстрация с сайта Indiatvnews.Com
1 марта из почтовой рассылки OpenSSL стало известно об очередной опасной уязвимости в SSL/TLS — CVE-2016-0800 под кодовым названием DROWN.
Проблема, охарактеризованная как «межпротокольная атака на TLS с использованием SSLv2», получила высокий статус критичности и была устранена в релизах OpenSSL 1.0.2g и 1.0.1s. Уязвимость затрагивает все реализации второй версии SSL, который считается устаревшим, однако по-прежнему повсеместно используется, в том числе в сегменте веб-ресурсов (HTTPS). DROWN воспроизводится для серверов с поддержкой SSLv2 и шифрами EXPORT, позволяя узнать ключ RSA.
Разработчики OpenSSL узнали об уязвимости DROWN ещё 29 декабря 2015 от Нимрода Авирама (Nimrod Aviram) и Себастьяна Шинцеля (Sebastian Schinzel). Всем пользователям OpenSSL 1.0.2 и 1.0.1 рекомендуется срочно обновиться до последних версий продукта.
Постоянная ссылка к новости: http://www.nixp.ru/news/13692.html. Дмитрий Шурупов по материалам mta.openssl.org Mailing Lists.
- В OpenSSL 1.0.1 обнаружена критическая уязвимость Heartbleed (CVE-2014-0160) 8 апреля 2014 г.
- Выявлена серьезная уязвимость в SSL 3.0, получившая название «Poodle» 2 1 16 октября 2014 г.
Canonical пропатчила ядра четырех Ubuntu — все обновления уже в репозиториях
Amazon выпустила свою Open Source-реализацию SSL/TLS — s2n
2
Poodle «покусал» и TLS: серьёзная уязвимость SSL 3.0 также затрагивает TLS 1.2
1
Выявлена серьезная уязвимость в SSL 3.0, получившая название «Poodle» 2 1
Компания Google анонсировала BoringSSL — собственный форк OpenSSL 2
В OpenSSL 1.0.1 обнаружена критическая уязвимость Heartbleed (CVE-2014-0160)
Последние комментарии
-
fhunter, 26 февраля в 20:45 → A, MX, PTR — Настройка и проверка извне. Как ? 2
-
fhunter, 21 января в 9:23 → Математика в школе 17
-
fhunter, 21 января в 9:22 → Как настроить чтоб работало две сетевые платы — две сети 3
-
fhunter, 21 января в 9:22 → посоветуйте!!Как ой велосипед приобрести девушке? 10
-
rgo, 11 января в 10:28 → Как «замокать» файл для юниттеста в Python? 1

В ALT Linux видимо уже исправлено… На момент выхода статьи обнаружил у ALT OpenSSL 1.0.1s, который задействовал для почты…
Он всё-таки Шинцель, а не шницель))
:D Спасибо, исправил.