В развиваемой компанией ARM свободной крипографической библиотеке PolarSSL выявлена критическая уязвимость (CVE-2015-1182), которая потенциально может привести к выполнению кода злоумышленника при обработке средствами библиотеки специально оформленных последовательностей ASN.1 из сертификатов X.509. Проблема может проявляться в серверных и клиентских приложениях, использующих PolarSSL при организации шифрованного канала связи c подконтрольным злоумышленнику клиентом или сервером.
Среди программ, поддерживающих сборку с PolarSSL, можно отметить OpenVPN-NL (уязвим и требует обновления, так как использует по умолчанию PolarSSL), OpenVPN, cURL, FreeRDP, PowerDNS. Проблема проявляется во всех выпусках PolarSSL 1.x, включая актуальные релизы 1.3.9 и 1.2.12. Исправление пока доступно в виде патча.
Ответ на:
комментарий
от drakmail
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.