Обновление OpenSSL 1.1.0c с устранением уязвимости в реализации ChaCha20/Poly1305

Опубликован корректирующий выпуск криптографической библиотеки OpenSSL 1.1.0c, в котором устранены три уязвимости, среди которых одна проблема помечена как опасная. Уязвимость CVE-2016-7054 присутствует в реализации набора шифров "*-CHACHA20-POLY1305" и может привести к переполнению буфера при обработке специально оформленных данных. Указано, что проблему можно использовать для инициирования краха приложений, использующих OpenSSL. Возможность создания эксплоитов, обеспечивающих выполнение кода, оценивается как маловероятная. Проблема проявляется только в ветке 1.1.0.

Также по теме: