Ez egy ilyen bugos nap, én viszont kezdek kimúlni, szóval csak röviden, tömören:
Kijött egy hibajavító csomag az OpenSSL-hez, ezeket a problémákat lehet vele gyógyítgatni (a foltozatlan verziókon pedig esetleg kihasználni):
- ASN.1 struktúrák kiírásakor a szoftver néha olyan memóriaterületről próbál olvasni, ahonnan nem lenne neki szabad, ezért elszálldos, legyen szó akár kliensről vagy szerverről.
- Azokon a rendszereken, ahol fennáll, hogy sizeof(long) < sizeof(void *) (pl. WIN64) speciális ASN.1 üzenetekkel szintén meg lehet fektetni a klienst, a szervert, vagy a függvénykönyvtárat használó alkalmazásokat.
- A Cryptographic Message Syntax-ot használó üzenetek ellenőrzésébe is hiba csúszott, melyet kihasználva olyan aláírások generálhatók, melyek később letagadhatóvá válnak, de ez szerencsére csak viszonylag szűk felhasználói réteget érint.