Top menu

Критическая уязвимость CVE-2014-0160 в OpenSSL: отсутствие необходимой проверки границ в процедуре расширения Heartbeat для протокола TLS

ОПИСАНИЕ

Отсутствие процедуры проверки границ может быть использовано для доступа к 64Кб памяти клиентского или серверного процесса с которым установлено шифрованное соединение.

Подробнее см. https://www.openssl.org/news/secadv_20140407.txt (англ.)

ПРИМЕНИМО К ВЕРСИЯМ

OpenSSL 1.0.1 и 1.0.2-beta, включая 1.0.1f и 1.0.2-beta1.

ВОПРОСЫ

1. Использует ли DeviceLock OpenSSL?

2. Если да, возникает ли при таком использовании угроза безопасности?

ОТВЕТЫ

1. Да, использует.

2. Нет, не возникает: старые версии DeviceLock используют не подверженные уязвимости старые версии OpenSSL, тогда как текущие версии DeviceLock (7.3.x) используют OpenSSL 1.0.1e с явно отключенным расширением Heartbeat.

В сборках DeviceLock, выпущенных после сборки 7.3.55818, используется OpenSSL 1.0.1g.