Обнаружена ещё пара проблем в коде DTLS: CVE-2009-1386 DTLS: SegFault if ChangeCipherSpec is received before ClientHello CVE-2009-1387 DTLS fragment bug - out-of-sequence message handling Исправления для 1-ой есть в 0.9.8i, 2-ой только в 1.0.0-beta2.
Похоже, кому-то не терпится это решето залатать, раз столько находок происходит :)
Этот баг ещё актуален?
Мне кажется, что вот эта запись в Changelog говорит об исправлении данных ошибок. Закройте, если я прав. * Сбт Ноя 07 2009 Evgeny Sinelnikov <sin@altlinux.ru> 0.9.8l-alt1 - Updated to new 0.9.8l includes security fixes and improvements - Includes CVE-2009-3555
В сборке в сизифе патча http://cvs.openssl.org/chngview?cn=17958 не наблюдается. CVE-2009-1387 не исправлен.
openssl098-0.9.8o-alt1 -> sisyphus: * Wed Sep 29 2010 Dmitry V. Levin <ldv@altlinux> 0.9.8o-alt1 - Updated to 0.9.8o (fixes CVE-2010-0742). - Fixed ssl/dtls1.h ABI breakage introduced in 0.9.8m. - Fixed 0.9.8m build regression on architectures where %_lib != lib. * Thu Mar 25 2010 Evgeny Sinelnikov <sin@altlinux> 0.9.8n-alt1 - Updated to 0.9.8n (fixes CVE-2010-0740 and CVE-2010-0433). * Fri Feb 26 2010 Evgeny Sinelnikov <sin@altlinux> 0.9.8m-alt1 - Updated to 0.9.8m with security fixes and improvements, including: + CVE-2009-3245, CVE-2008-1678 + CVE-2009-1377, CVE-2009-1378, CVE-2009-1379 + CVE-2009-1387 (closes: #20280) + CVE-2009-4355 (closes: #22817, #23037) + patch for Cisco VPN client DTLS
