Обновление LibreSSL 2.3.9/2.4.4 и GnuTLS 3.5.6 с устранением DoS-уязвимости

Разработчики проекта OpenBSD представили корректирующие выпуски 2.3.9 и 2.4.4 переносимой редакции пакета LibreSSL, в рамках которого развивается форк OpenSSL, нацеленный на обеспечение более высокого уровня безопасности. Кроме исправлений, направленных на повышение стабильности, в новых выпусках устранена уязвимость (CVE-2016-8610), которую можно использовать для инициирования отказа в обслуживании сервера через наводнение пакетами с типом WARNING в процессе согласования соединения, что приведёт к зацикливанию обработки и 100% использованию ресурсов CPU. Например, атака может быть совершена для вывода из строя HTTPS-сервера на базе nginx.

Проблема проявляется не только в LibreSSL, но и в OpenSSL и GnuTLS. В GnuTLS уязвимость устранена в выпуске 3.5.6, а в OpenSSL в сентябрьских выпусках 1.1.0b и 1.0.2j (на момент выхода этих версий об уязвимости не было известно).

Дополнительно можно отметить публикацию предупреждения о выходе 10 ноября обновления OpenSSL 1.1.0c, в котором будет устранена порция уязвимостей, одной из проблем присвоен высокий уровень опасности.