Ni nye patches til lige så mange sikkerhedshuller blev onsdag frigivet til OpenSSL. Det skriver PCWorld.
En af fejlene på listen kan få en OpenSSL-forbindelse til at nedgradere til krypteringsprotokollen TLS 1.0, som er 15 år gammel. Fejlen sker ifølge den udsendte vejledning, når en dårligt fragmenteret ‘ClientHello’-besked bliver sendt til en server under et ‘man in the middle’-angreb.
De nye patches kommer efter en nøje gennemgang af OpenSSL-koden i kølvandet på Heartbleed-fejlen, der blev afsløret i april. Det er sikkerhedseksperter hos blandt andre Google og Codenomicon, der har fundet de nye fejl. Ingen af dem dog så alvorlige som Heartbleed.
Leave a Reply