Разработчики OpenSSL устранили опасную уязвимость с подделкой сертификатов, обновив до актуальных версий криптографические пакеты. Уязвимость с подделкой сертификатов добавлена в код OpenSSL 27 января 2015 года, добровольцем участвующим в разработке, по имени Мэтт Кэсвелл (Matt Caswell). По факту уязвимость появилась в финальных версиях пакета только в июне. Ошибка затронула следующие версии OpenSSL 1.0.2c, 1.0.2b, 1.0.1n и 1.0.1o. Пользователям этих версий следует обновиться до 1.0.2d и 1.0.1p.
![[web-zones.ru]-img12.jpg](https://web-zones.ru/attachments/web-zones-ru-img12-jpg.8247/ "[web-zones.ru]-img12.jpg")
Ошибка в программе состоит в неправильной процедуре поиска альтернативной цепочки сертификатов при первой неудачной попытки построения такой цепочки. Ошибка в реализации логики этой процедуры потенциально позволяет злоумышленнику обойти некоторые проверки ненадежных сертификатов, в том числе проверку удостоверяющего центра. Поэтому, нападающий может использовать свой сертификат и выдать себя за настоящий удостоверяющий центр и злоумышленник «выдает» поддельные сертификаты для серверов и приложений, работающих по «защищенным» каналам SSL/TLS/DTLS, то есть для кого угодно.
Об уязвимости сообщили Адам Лэнгли (Adam Langley) из Google и участники проекта BoringSSL, которые разработали патч. Хотя уязвимость выглядит очень опасной, но в реальности эффект для обычных пользователей ограничен. Это связано со спецификой работы современных новых браузеров Google Chrome, Mozilla Firefox, Microsoft Internet Explorer по умолчанию используют альтернативные библиотеки для проверки сертификатов: это Boring SSL, libPKIX и SChannel. Старые версии Android также используют OpenSSL, но при сборки старых версий OpenSSL такой ошибки допущено не было разработчиками.
Об уязвимости сообщили Адам Лэнгли (Adam Langley) из Google и участники проекта BoringSSL, которые разработали патч. Хотя уязвимость выглядит очень опасной, но в реальности эффект для обычных пользователей ограничен. Это связано со спецификой работы современных новых браузеров Google Chrome, Mozilla Firefox, Microsoft Internet Explorer по умолчанию используют альтернативные библиотеки для проверки сертификатов: это Boring SSL, libPKIX и SChannel. Старые версии Android также используют OpenSSL, но при сборки старых версий OpenSSL такой ошибки допущено не было разработчиками.