Российская группа пользователей GNU/Linux. |
Опрос на LUG.RUВход в системуЛучшие блоггеры |
Критическая уязвимость в PolarSSLУважаемые участники LUG.RU! Напоминаем вам, что у нас есть своя jabber-конференция lug@conference.jabber.ru, которой не только можно, но и нужно переодически пользоваться. Уважаемый посетитель, Вы зашли на сайт как незарегистрированный пользователь. Мы рекомендуем Вам зарегистрироваться либо зайти на сайт под своим именем.
Опубликовано Ne01eX в вт., 20/01/2015 - 08:47
В популярной библиотеке PolarSSL найдена критическая уязвимость, позволяющая злоумышленнику выполнить произвольный код как на стороне клиента, так и на стороне сервера. Дело в том, что проблема связана с обработкой полей ASN.1 сертификата. В функции asn1_get_sequence_of() не инициализируется указатель на связный список asn1_sequence, что может привести к вызову функции polarssl_free() с неинициализированным указателем, что может, в конечном итоге, и привести к выполнению вредоносного кода. ![]() Проблема обостряется ещё и тем, что библиотека действительно является популярной, особенно на мобильных платформах iOS и Android (например, - OpenVPN), а также в роутерах, использующих прошивку на базе OpenWRT. Подробности здесь. |
|
Последние комментарии