Megjelent az OpenSSL 1.0.1p és 1.0.2d!

OpenSSL logó

Az előzetes értesítéseknek megfelelően, megjelent az OpenSSL 1.0.1p és 1.0.2d, amikben egy magas besorolású sebezhetőség került javításra.

Részletesebben:

A tanúsítvány ellenőrzésekor az OpenSSL (1.0.1n és 1.0.2b verziókkal kezdődően) megpróbál egy alternatív tanúsítvány láncot keresni, ha az erre irányuló első próbálkozás sikertelen volt. Ennek a megvalósításában lévő hiba kihasználásával a támadó egyes megbízhatatlan tanúsítványok vizsgálatakor ellenőrzéseket tud megkerülni. Pl. a CA flag, aminek a bekapcsolásával egy tanúsítvány érvényes levéltanúsítvány lehet, amellyel CA-ként viselkedhet és érvénytelen tanúsítványokat „adhat ki”.

Ez a probléma minden olyan alkalmazást érint, mely tanúsítványokat ellenőriz, ideértve az SSL/TLS/DTLS klienseket és a kliens azonosítást használó SSL/TLS/DTLS szervereket. A hiba az OpenSSL 1.0.2c, 1.0.2b, 1.0.1n és 1.0.1o verziókat érinti.

Az OpenSSL 1.0.2b/1.0.2c felhasználók 1.0.2d verzióra frissítsenek.
Az OpenSSL 1.0.1n/1.0.1o felhasználók 1.0.1p verzióra frissítsenek.

Az eredeti bejelentés: https://www.openssl.org/news/secadv_20150709.txt