Otra vulnerabilidad de gravedad media, con CVE-2016-6305, afecta a OpenSSL 1.1.0 debido a que SSL/TLS podrá colgarse durante una llamada a SSL_peek() si el interlocutor envía un registro vacío. Un usuario malicioso podría provocar condiciones de denegación de servicio.
Otras 12 vulnerabilidades corregidas están consideradas de gravedad baja. Los CVEs asignados a todos los problemas son CVE-2016-2177 al CVE-2016-2183 y CVE-2016-6302 al CVE-2016-6308.
«This security update addresses issues that were caused by patches included in our previous security update, released on 22nd September 2016. Given the Critical severity of one of these flaws we have chosen to release this advisory immediately to prevent upgrades to the affected version, rather than delaying in order to provide our usual public pre-notification.«
Debe saber que alguien que lo haya atacado pudo levantar un servidor web falso, pero que parecia valido para los usuarios (pudo hacer un clon que parecio real). Por ultimo, estaria exento de culpa si en su servidor web usa “perfect forward secrecy”, o bien, si ya esta cifrando el contenido que de por si viaja cifrado por el canal establecido por OpenSSL (doble cifrado). LastPass aplica estas dos ultimas medidas.