В среду группа разработчиков, стоящая за широко применяемой программой защиты с открытым исходным кодом OpenSSL, выпустила две поправки, устраняющие возможность атак на отказ в обслуживании. Ошибки не только делают уязвимыми Linux-системы, в которых установлено это ПО, но и влияют на многие маршрутизаторыи сетевые устройства, содержащие OpenSSL. Cisco Systems выпустила рекомендацию, в которой говорится, что они могут проявляться в ее аппаратных брандмауэрах PIX и некоторых маршрутизаторах.
OpenSSL — это реализация open-source алгоритма шифрования Secure Sockets Layer (SSL), который используется почти всеми веб-браузерами для защиты данных, передаваемых через открытый интернет. Кроме того, программа служит основой популярного веб-сервера Apache, на долю которого приходится свыше двух третей всех серверов в интернете.
Ошибки не позволяют злоумышленникам получить контроль над компьютером или устройством, но создают условия для вывода программы из строя при помощи особой последовательности данных. Такие атаки на отказ в обслуживании (denial-of-service) могут воспрепятствовать доступу пользователей к серверу и помешать администраторам управлять сетью. В некоторых случаях поток данных может вывести устройство из строя, вызвав продолжительные простои сети.
Исследование, проведенное в ноябре прошлого года, показало, что почти половина участвующих в нем веб-серверов используют давно не обновлявшуюся версию OpenSSL. Ошибка в компоненте веб-сервера, основанном на OpenSSL, стала фактором, позволившим в сентябре 2002 года распространиться Linux-червю Slapper.
OpenSSL входит в состав дистрибутивов Linux, выпускаемых Red Hat и отделением Novell SuSE Linux.
