Poprawki i aktualizacje
OpenSSL DSA/ECDSA podatny na spoofing
Luka umożliwia napastnikowi sfałszowanie sygnatury używanej podczas nawiązywania połączeń SSL/TLS bazujących na wymianie kluczy DSA lub ECDSA.
Błąd popularnej biblioteki OpenSSL używanej do uruchamiania szyfrowanych połączeń dotyczy nieprawidłowego zwrotu wartości funkcji "EVP_VerifyFinal ()". W rezultacie oszustwa, klient nawiązujący połączenie, może zostać przekierowany na podstawiony serwer, skąd otrzyma spreparowany certyfikat.
Opublikowana została wersja 0.9.8j, która jest pozbawiona błędu. Można ją pobrać ze strony projektu:
http://openssl.org/source/
Więcej informacji:
http://www.ocert.org/advisories/ocert-2008-016.html
http://secunia.com/advisories/33338/
Źródło:
http://openssl.org/
