Beveiligingsonderzoekers van Qualys hebben twee kwetsbaarheden in LibreSSL gevonden. De opensource implementatie van het ssl-protocol kampt met een geheugenlek en een bufferoverflow-kwetsbaarheid in een functie. In OpenBSD zijn ze waarschijnlijk niet te misbruiken.
Qualys was op zoek naar mogelijkheden om op afstand code uit te voeren via recent ontdekte lekken in OpenSmtpd, schrijft het bedrijf. OpenSmtpd is een smtp-daemon die door het OpenBSD-team is ontwikkeld met hoge beveiliging en goede prestaties als belangrijkste doelen.
Mogelijkheden voor remote code execution werden niet gevonden maar bij het zoeken ernaar, stuitte het bedrijf wel op een geheugenlek in de OBJ_obj2txt()-functie van LibreSSL. Deze opensource implementatie van het ssl-protocol maakt gebruik van OpenSmtpd. Met behulp van de kwetsbaarheden kunnen aanvallers systemen laten crashen en mogelijk code uitvoeren.
De kwetsbaarheden bevinden zich in alle versies van LibreSSL. De ontwikkelaars werken aan een oplossing. OpenSSL is niet getroffen en ook zijn de kwetsbaarheden waarschijnlijk niet in OpenBSD uit te buiten, schrijven de ontdekkers. LibreSSL is een fork van OpenSSL, die ontstond nadat met de Heartbleed-bug een ernstige kwetsbaarheid in de code van OpenSSL bekend werd. Naast OpenBSD maakt bijvoorbeeld OpenELEC gebruik van LibreSSL.