Обновление безопасности для OpenSSL стало причиной появления еще одной уязвимости

На прошлой неделе OpenSSL Project выпустил исправления для целого ряда уязвимостей. Как оказалось, патч для CVE-2016-6307 стал причиной появления еще одной уязвимости – CVE-2016-6309. Согласно уведомлению OpenSSL Project, при получении сообщения длиной свыше 16 тыс. символов буфер, сохраняющий входящее сообщение, перераспределяется и перемещается.

«К сожалению, осталась висячая ссылка на старую область памяти, что приводит к попыткам записи в ранее освобожденную область. Это может стать причиной аварийного завершения работы и выполнения произвольного кода», - говорится в уведомлении.

Пользователям OpenSSL 1.1.0 необходимо установить версию 1.1.0b. Данное обновление получило критический рейтинг опасности.

OpenSSL Project исправил еще одну уязвимость, CVE-2016-7052, затрагивающую исключительно OpenSSL 1.0.2i. «Исправление ошибки, связанной с проверкой при помощи списка отозванных сертификатов (CRL), было добавлено в OpenSSL 1.1.0, но исключено из OpenSSL 1.0.2i. Как результат, любая попытка использовать CRL вызовет аварийное завершение работы с null pointer exception», - сообщается в уведомлении.

Пользователи OpenSSL 1.0.2i должны установить версию 1.0.2j. Обновление получило средний рейтинг опасности.