На прошлой неделе OpenSSL выпустила 14 патчи для уязвимостей, а протокола OCSP была закрыта брешь, чреватая отказом в обслуживании на уязвимых серверах.Это самый настоятельный патч из 14 новых от разработчиков OpenSSL. Данную брешь обнаружили исследователи ИБ-компании Qihoo 360. Эта уязвимость позволяет злонамеренному пользователю исчерпать у сервера всю память.
Уязвимость CVE-2016-6304 допускает эксплойт посредством отправки с клиента OCSP-запроса, содержащего расширение. При дефолтных настройках сервер выделяет неограниченное пространство памяти для идентификаторов OCSP при каждом повторном согласовании, даже в том случае, если его конфигурация не предполагает использование OCSP, – поясняют эксперты. – Согласно спецификациям OCSP, его ID требует до 65535 байт памяти. Поток запросов на повтор согласования вызовет рост неограниченной памяти на сервере, теоретически до 64 Кбайт за раз.
Уязвимости CVE-2016-6304 подвержены дефолтные сборки OpenSSL 1.1.0 и более поздние, версиям ниже 1.0.1g она не свойственна. Пользователям OpenSSL 1.1.0 рекомендуется обновиться до 1.1.0a, 1.0.2 – до 1.0.2i, 1.0.1 – до 1.0.1u.
Соответствующие патчи выпущены также для Linux- и BSD дистрибутивов:
Несмотря на то, что влияние других уязвимостей ниже, чем влияние указанного выше, 360 Total Security по-прежнему настоятельно рекомендует бизнес-клиентам и частным лицам скачать последний обновление OpenSSL, чтобы обеспечить защиту от потенциальных атак.