Рекомендация Debian по безопасности

DSA-2162-1 openssl -- доступ к недопустимой области памяти

Дата сообщения:
14.02.2011
Затронутые пакеты:
openssl
Уязвим:
Да
Ссылки на базы данных по безопасности:
В каталоге Mitre CVE: CVE-2011-0014.
Более подробная информация:

Neel Mehta обнаружил, что неправильный формат посылки процедуры согласования ClientHello может заставить OpenSSL обрабатывать данные за пределами данной посылки. Это позволяет злоумышленнику вызывать фатальные ошибки в приложениях, использующих OpenSSL, обращением к недопустимой области памяти. Кроме того, некоторые приложения могут быть скомпрометированы раскрытием содержимого расшифрованного расширения OSCP nonce

Пакеты в прошлом стабильном дистрибутиве (Lenny) не подвержены этой уязвимости.

В стабильном дистрибутиве (Squeeze) эта уязвимость была исправлена в версии 0.9.8o-4squeeze1.

В тестируемом дистрибутиве (Wheezy) эта уязвимость была исправлена в версии 0.9.8o-5.

В нестабильном дистрибутиве (Sid) эта уязвимость была исправлена в версии 0.9.8o-5.

Мы рекомендуем вам обновить пакеты openssl.