شماره: IRCNE2012011364
تاريخ: 17/10/90
OpenSSL يك هشدار در مورد حداقل شش آسيب پذيري امنيتي كه كاربران پياده سازي متن باز پروتكلهاي SSL و TLS را تحت تاثير قرار ميدهد، منتشر كرد. اين آسيب پذيريها در OpenSSL نسخه هاي 1.0.0f و 0.9.8s ترميم شده اند.
جديترين نقص امنيتي در اين مجموعه، يك حمله بازيابي متن ساده DTLS است كه به طور عمومي شناخته شده است.
آخرين به روز رساني OpenSSL همچنين يك مشكل عدم بررسي سياست را نيز ترميم ميكند كه منجر به يك نقص آزادسازي مجدد ميگردد. يك مساله مجزا نيز در OpenSSL پيش از 1.0.0f و 0.9.8s وجود دارد كه به عدم پاك كردن بايتهاي مورد استفاده رمزگذاري در ركوردهاي SSL 3.0 برميگردد. اين مساله كلاينتها و سرورهايي را كه درخواستهاي SSL 3.0 را ميپذيرند، تحت تاثير قرار ميدهد.
در نتيجه، در هر ركورد تا 15 بايت حافظه تخصيص داده نشده ممكن است رمز شده و براي طرف مقابل ارسال گردد. اين ركورد ميتواند شامل اطلاعات حساس حافظه هايي كه قبلا آزاد شده است باشد.
- 4