Az előzetes értesítésnek megfelelően, biztonsági hibajavítások érkeztek az OpenSSL 1.0.1 és 1.0.2-es kiadásaihoz. A javítások között kritikus hiba javítása is van, így mindenkinek érdemes mihamarabb frissítenie.

Fontos: Az OpenSSL 1.0.1s és 1.0.2g kiadásoktól kezdve alapértelmezetten kikapcsolásra kerül a SSLv2 protokoll, továbbá eltávolításra kerül az SSLv2 EXPORT lehetőség is. A fejlesztők nyomatékosan megkérnek mindenkit, hogy hanyagolják az SSLv2 használatát, ugyanis egy ideje már nem tekinthető biztonságos protokollnak!

Magas biztonsági kockázatot jelentenek a következő sebezhetőségek:

• Cross-protocol attack on TLS using SSLv2 (DROWN) (CVE-2016-0800) Bővebb információ: https://drownattack.com
• Divide-and-conquer session key recovery in SSLv2 (CVE-2016-0703)

Közepes kockázatú sebezhetőség:

• Bleichenbacher oracle in SSLv2 (CVE-2016-0704)

Alacsony kockázatú sebezhetőségek:

• Double-free in DSA code (CVE-2016-0705)
• Memory leak in SRP database lookups (CVE-2016-0798)
• BN_hex2bn/BN_dec2bn NULL pointer deref/heap corruption (CVE-2016-0797)
• Fix memory issues in BIO_*printf functions (CVE-2016-0799)
• Side channel attack on modular exponentiation (CVE-2016-0702)

Kiadási megjegyzések:

OpenSSL 1.0.1s: https://github.com/openssl/openssl/blob/OpenSSL_1_0_1-stable/CHANGES

OpenSSL 1.0.2g: https://github.com/openssl/openssl/blob/OpenSSL_1_0_2-stable/CHANGES