В OpenSSL обнаружена критическая уязвимость, об этом сообщают Адам Лэнгли (Adam Langley) из Google и Дэвид Бенджамин (David Benjamin) из проекта BoringSSL.В OpenSSL была обнаружена уязвимость CVE-2015-1793, позволяющая обойти процедуру проверки сертификата и организовать подтверждённое соединение с использованием подставного сертификата.Причиной уязвимости являются изменения, внесенные в последних версиях OpenSSL 1.0.1n и 1.0.2b, в результате которых OpenSSL пытается найти альтернативную цепочку верификации сертификата, если первая попытка построения цепочки подтверждения доверия не увенчалась успехом. Это позволяет атакующему подменить сертификат.Ранее в компанию Google уже сообщалось о различных подменах с использованием поддельных сертификатов.
Ссылка: http://www.linux.org.ru/news/security/11764205