В экстренном порядке выпущены корректирующие релизы библиотеки OpenSSL 1.0.1a, 1.0.0i и 0.9.8v в которых устранена критическая уязвимость, которая потенциально может быть применена для совершения атаки на приложения, использующие функции OpenSSL. При успешном совершении атаки может быть инициировано выполнение кода злоумышленника.

Проблема выявлена группой исследователей безопасности из компании Google, информации о наличии в публичном доступе готового к использованию эксплойтов пока нет, но теоретически создание такого эксплойта не составит труда, поэтому всем пользователям рекомендуется в кратчайшие сроки осуществить обновление OpenSSL. На момент написания новости, пакеты с устранением уязвимости пока анонсированы только для Mandriva Linux, проследить за выходом обновлений для других популярных дистрибутивов можно на данных страницах: FreeBSD, Ubuntu, Gentoo, Slackware, openSUSE, CentOS, Scientific Linux, Fedora, RHEL и Debian.

Проблема вызвана ошибкой приведения типов в функции asn1_d2i_read_bio() при разборе данных в формате DER, используемого при работе с S/MIME и CMS. Уязвимость позволяет инициировать переполнение буфера и выполнить код злоумышленника при обработке специально оформленных данных. Теоретически эксплуатация уязвимости возможна только на 64-разрядных системах.