Πολλαπλές ευπάθειες στο OpenSSL αναφέρθηκαν από ερευνητές ασφαλείας από διαφορετικές εταιρείες, οι οποίες, αν αξιοποιηθούν, θα μπορούσαν να οδηγήσουν σε διαρροή πληροφοριών, δυσλειτουργία του συστήματος ή υποβάθμιση σε χαμηλότερη έκδοση του πρωτοκόλλου ασφαλείας.
Ερευνητές από τη Google, τη LogMeIn, τη Codenomicon και την NCC Group ανέφεραν τα ζητήματα και μερικοί από αυτούς παρείχαν, επίσης, μια απαραίτητη λύση.
Μία από τις ευπάθειες στο OpenSSL SSL/TLS κώδικα διακομιστή, που ανακαλύφθηκε από τον David Benjamin και τον Adam Langley από τη Google, θα μπορούσε να επιτρέψει σε ένα δυνητικό εισβολέα να χρησιμοποιήσει το λιγότερο ασφαλές TLS 1.0 αντί για μία νεότερη έκδοση του πρωτοκόλλου.
Ghost: Εξάρθρωση της πλατφόρμας κρυπτογραφημένων επικοινωνιών
Αυτό θα συμβεί όταν ένα μήνυμα «ClientHello» παραδίδεται σε έναν εξυπηρετητή κατά τη διάρκεια μιας επίθεσης man-in-the-middle, αναγκάζοντας την υποβάθμιση αλλάζοντας τις εγγραφές TLS του πελάτη, ακόμη και αν ο πελάτης και ο διακομιστής περιλαμβάνoυν υποστήριξη για μια πιο πρόσφατη έκδοση του πρωτοκόλλου.
Επιθέσεις άρνησης υπηρεσίας (DoS) θα μπορούσαν επίσης να πραγματοποιηθούν με την αποστολή malcrafted πακέτων DTLS που θα οδηγούσε σε απώλεια μνήμης. Το ίδιο θα μπορούσε να επιτευχθεί κατά την επεξεργασία DTLS μηνυμάτων.
Αξίζει να σημειωθεί ότι κανένα από τα θέματα που βρέθηκαν από τους ερευνητές ασφάλειας είναι κοντά στην κρισιμότητα του bug Heartbleed, που αποκαλύφθηκε από την Codenomicon τον Απρίλιο, φέτος. Ακόμα κι έτσι, οι διαχειριστές θα πρέπει να αναβαθμίσουν στην τελευταία έκδοση της βιβλιοθήκης OpenSSL (0.9.8zb, 1.0.0n ή 1.0.1i) το συντομότερο δυνατόν.
