Il progetto OpenBSD ha pubblicato una versione portabile del pacchetto LibreSSL 3.2.5, che sviluppa un fork di OpenSSL volto a fornire un livello di sicurezza più elevato. La nuova versione corregge un bug nell'implementazione del client TLS, che porta all'accesso ad un blocco di memoria già liberato (use-after-free) quando si esegue un'operazione di ripresa della sessione. Gli sviluppatori di OpenBSD hanno riconosciuto che l'errore porta ad una vulnerabilità, ma si sono astenuti dal pubblicare i dettagli, limitandosi solo ad una patch. Non ci sono ancora informazioni sulla possibilità di organizzare un attacco remoto. È possibile che la vulnerabilità sia legata al problema che ha portato ai crash, di cui gli sviluppatori del progetto haproxy avevano messo in guardia a febbraio.
Fonte: opennet.ru