Опрос на LUG.RU

Как вы думаете, нужна ли интеграция с социальными сетями?:
 Хостинг, домен
Серверное оборудование

Критическая уязвимость в PolarSSL

Уважаемые участники LUG.RU! Напоминаем вам, что у нас есть своя jabber-конференция lug@conference.jabber.ru, которой не только можно, но и нужно переодически пользоваться. Smiling Для этого вы можете использовать любой клиент из этого списка.

Уважаемый посетитель, Вы зашли на сайт как незарегистрированный пользователь. Мы рекомендуем Вам зарегистрироваться либо зайти на сайт под своим именем.


В популярной библиотеке PolarSSL найдена критическая уязвимость, позволяющая злоумышленнику выполнить произвольный код как на стороне клиента, так и на стороне сервера. Дело в том, что проблема связана с обработкой полей ASN.1 сертификата. В функции asn1_get_sequence_of() не инициализируется указатель на связный список asn1_sequence, что может привести к вызову функции polarssl_free() с неинициализированным указателем, что может, в конечном итоге, и привести к выполнению вредоносного кода.

Проблема обостряется ещё и тем, что библиотека действительно является популярной, особенно на мобильных платформах iOS и Android (например, - OpenVPN), а также в роутерах, использующих прошивку на базе OpenWRT.

Подробности здесь.
Неофициальный патч тут.
Официальное уведомление.
Краткий список проектов, использующих библиотеку PolarSSL.