Flere sikkerhetsoppdateringer var med da OpenSSL lanserte versjon 1.0.2 torsdag 19.mars Open SSL er en påminnelse om hvor mye av Internetts teknologi som vedlikeholdes av en håndfull av programmerere som arbeider på lavbudsjett. Denne programvaren brukes av tusenvis av selskaper over hele verden for å kryptere kommunikasjon. På torsdag kom det en ny sikkerhetsoppdatering fra denne grupperingen. OpenSSL-prosjektet skriver at denne nye versjoner av koden fikser en rekke sikkerhetshull, inkludert noen klassifisert som ” høy “alvorlighetsgrad.
OpenSSL brukes blant annet av Facebook, Google og Yahoo – samt av mange store norske organisasjoner. Som navnet antyder, brukes OpenSSL til Secure Sockets Layer (SSL) kryptering (også kjent som “Transport Layer Security” eller TLS) for nettsteder og tilknyttede nettverk, slik at dataene ikke kan leses av ikke-klarerte parter.
Denne oppdateringen fikser en rekke sårbarheter og noen andre oppdateringer.
NorSIS anbefaler
Oppdater til siste versjon av OpenSSL så snart du har anledning.
Les mer
Listen under viser hovedendringene mellom OpenSSL 1.0.2 og OpenSSL 1.0.2a (19.3.2015) og er hentet fra OpenSSL prosjektets egne sider:
http://www.openssl.org/news/openssl-1.0.2-notes.html
- OpenSSL 1.0.2 ClientHello sigalgs DoS fix (CVE-2015-0291)
- Multiblock corrupted pointer fix (CVE-2015-0290)
- Segmentation fault in DTLSv1_listen fix (CVE-2015-0207)
- Segmentation fault in ASN1_TYPE_cmp fix (CVE-2015-0286)
- Segmentation fault for invalid PSS parameters fix (CVE-2015-0208)
- ASN.1 structure reuse memory corruption fix (CVE-2015-0287)
- PKCS7 NULL pointer dereferences fix (CVE-2015-0289)
- DoS via reachable assert in SSLv2 servers fix (CVE-2015-0293)
- Empty CKE with client auth and DHE fix (CVE-2015-1787)
- Handshake with unseeded PRNG fix (CVE-2015-0285)
- Use After Free following d2i_ECPrivatekey error fix (CVE-2015-0209)
- X509_to_X509_REQ NULL pointer deref fix (CVE-2015-0288)
- Removed the export ciphers from the DEFAULT ciphers