Организация Linux Foundation в рамках инициативы Core Infrastructure Initiative (CII) и при помощи NCC Group представила ряд обновлений криптографического пакета с открытым исходным кодом OpenSSL. Очередные версии пакета закрывают несколько средних и небольших уязвимостей системы безопасности.
Большинство исправлений связано с DoS-атаками (Denial of Service — отказ в обслуживании). Кроме того, закрыта уязвимость протокола TLS под названием, получившая известность в мае. Она нацелена на системы, в которых используется алгоритм обмена ключами Диффи-Хеллмана для установления канала связи между двумя компьютерами. Атака типа «человек посередине» может заставить использовать 512-битные ключи шифрования. Когда-то они считались достаточными для обеспечения безопасности, однако с ростом мощности компьютеров и распространением облачных вычислительных сервисов их взлом стал делом нескольких часов.
Последняя версия OpenSSL устанавливает соединение как минимум с 768-разрядными ключами. В будущих версиях это значение будет поднято до 1024 бит.
Работающие на OpenSSL 1.0.2 системы рекомендовано обновить до версии 1.0.2b, а OpenSSL 1.0.1 до версии 1.0.1n.