OpenSSL Project залатал прорехи в защите своего ПО, обнаруженные в ходе тестирования правительством Великобритании.Во вторник группа разработчиков open-source, ведающая ПО для защиты коммуникаций, выпустила поправку, устраняющую несколько уязвимостей, обнаруженных правительством Великобритании в процессе испытаний ПО на безопасность.
Ошибки присутствуют в версии ПО OpenSSL Project Secure Sockets Layer (SSL), которая применяется на веб-сайтах и в браузерах для криптографической защиты данных. Две из этих ошибок могут использоваться для организации атаки denial-of-service, а третья позволяет злоумышленнику проникнуть в систему из интернета.
Ошибки обнаружились, когда британское правительство подвергло ПО серьезным испытаниям, рассказывает разработчик OpenSSL Security Team Марк Кокс.«Мы знаем определенно, что эксплойтов пока нет, — сказал он. — Ошибки нашли хорошие парни».
OpenSSL Project — не путать с проектом OpenSSH (SSH означает secure shell — защитная оболочка), который исправлял свое ПО дважды за прошлый месяц, — разрабатывает и поддерживает версию ПО SSL с открытым исходным кодом. Год назад Linux-компьютеры, в которых не была ликвидирована другая уязвимость этого ПО, заразил червь Slapper.
Кокс сказал, что, используя любую из двух ошибок, можно создать особый цифровой сертификат, приводящий к отказу ПО OpenSSL, и организовать атаку на отказ в обслуживании. Третья ошибка позволяет онлайновым вандалам атаковать сервер или распространять червей. Согласно предупреждению, опубликованному группой, ошибки присутствуют во всех версиях OpenSSL до 0.9.6j и 0.9.7b включительно.
Большинство дистрибьюторов Linux, включая Red Hat и SuSE, уже выпустили поправки для своих дистрибутивов. Патчи выпустила и Cisco Systems — производитель сетевого оборудования использует ПО в ряде своих продуктов.
Программы для Windows
Программы для Linux
Приложения для Android
Приложения для iPhone