Le projet OpenBSD a publié une version portable du package LibreSSL 3.2.5, qui développe un fork d'OpenSSL visant à fournir un niveau de sécurité plus élevé. La nouvelle version corrige un bug dans l'implémentation du client TLS, qui conduit à accéder à un bloc mémoire déjà libéré (use-after-free) lors de l'exécution d'une opération de reprise de session. Les développeurs d'OpenBSD ont reconnu que l'erreur conduisait à une vulnérabilité, mais se sont abstenus de publier des détails, se limitant à un simple correctif. Il n'y a pas encore d'informations sur la possibilité d'organiser une attaque à distance. Il est possible que la vulnérabilité soit liée au problème qui a conduit aux crashs, contre lequel les développeurs du projet haproxy avaient mis en garde en février.
Source: opennet.ru