Sigurnost

Pronađen je sigurnosni propust u načinu na koji openssl upravlja eksplicitno zadanim inicijalizacijskim vektorima za CBC način enkripcije, a koji se koriste u TLS 1.1, 1.2 i DTLS-u. Krivi izračuni vode do cjelobrojnog podljeva i neispravnog pristupa memoriji, što naposljetku uzrokuje rušenje aplikacije (DoS) koja koristi openssl paket.

Ova ranjivost ima oznake: CVE-2012-2333 i DSA-2475-1.

Otkriveni su sigurnosni propusti u jezgri (linux-2.6) operacijskog sustava Debian. Propusti se nalaze u CLONE_IO jezgrenom bloku, KVM podsustavu, fcaps sustavu, hughpages mehanizmu te dijelu datotečnog sustava EXT4 zaduženog za upravljanje atomskim operacijama zapisivanja na tvrdi disk (jbd2). Propusti se mogu iskoristiti korištenjem već oslobođene memorije i oslobađanjem memorije s adrese NULL pokazivača. Lokalni korisnici mogu izazvati napad uskraćivanjem usluge (DoS).

Google je nedavno obilježio godišnjicu programa nagrađivanja za pronađene ranjivosti (Vulnerability Reward Program, VRP). U sklopu tog programa isplaćuju se novčani iznosi osobama koje pronađu slabosti u servisima koje nudi Google (Wallet, Gmail, Youtube i dr.)

Ispravljene su tri ranjivosti u radu programskog paketa OpenSSL na operacijskom sustavu Debian. Ranjivosti su uzrokovane pogreskom u CMS i PKCS #7 dekripcijskom kodu, dereferenciranjem NULL pokazivača u funkciji "mime_param_cmp()" (crypto/asn1/asn_mime.c) prilikom parsiranja određenih MIME zaglavlja i nepravilnom provjerom graničnih vrijednosti kod obrade DER podataka putem BIO ili FILE funkcija.