Обновление OpenSSL 1.1.0g и 1.0.2m с устранением уязвимостей

02.11.2017 21:44

Доступны корректирующие выпуски криптографической библиотеки OpenSSL 1.0.2m и 1.1.0g , в которых устранены две уязвимости, из которых одна отмечена как неопасная (CVE-2017-3735), а вторая (CVE-2017-3736) отнесена к категории проблем среднего уровня опасности.

Уязвимость CVE-2017-3736 связана с ошибкой вычислений при выполнении процедур возведения в степень на системах с Intel Broadwell, AMD Ryzen и более новыми процессорами с поддержкой расширений BMI1, BMI2 и ADX. Проблема теоретически может применяться для атаки по восстановлению закрытых ключей. Для алгоритмов EC атака не применима, а для RSA и DSA очень сложна в организации и маловероятно, что вообще сможет быть воплощена на практике. Атака против DH тоже сложна, но более реалистична, так как большая часть работы для воссоздания информации о закрытом ключе может быть выполнена не на уязвимой системе. В любом случае для атаки требуется наличие очень больших вычислительных ресурсов, которые доступны ограниченному контингенту.

исправить +11 +/–

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/47492-openssl

Ключевые слова: openssl

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (4)

RSS

1, _ (??), 17:08, 03/11/2017 [ответить]	–1 +/–
Мда ... как не "шатали лодку", сколько альтернативщины не сделали ... а пользуют все всё равно сабж :-)

2, Аноним (-), 18:56, 03/11/2017 [^] [^^] [^^^] [ответить]	+2 +/–
man не/ни

3, Аноним (3), 12:34, 04/11/2017 [ответить]	+/–
Надо было ставить libressl

4, Alex Milin (?), 21:30, 04/11/2017 [ответить]	+/–
Где же TLS1.3?

игнорирование участников | лог модерирования

Добавить комментарий

Текст: