Рекомендация Debian по безопасности

DSA-2998-1 openssl -- обновление безопасности

Дата сообщения:
07.08.2014
Затронутые пакеты:
openssl
Уязвим:
Да
Ссылки на базы данных по безопасности:
В каталоге Mitre CVE: CVE-2014-3505, CVE-2014-3506, CVE-2014-3507, CVE-2014-3508, CVE-2014-3509, CVE-2014-3510, CVE-2014-3511, CVE-2014-3512, CVE-2014-5139.
Более подробная информация:

В OpenSSL, инструментарии Secure Sockets Layer, были обнаружены многочисленные уязвимости, которые могут приводить к отказу в обслуживании (аварийное завершение работы приложения, чрезмерное потребление памяти), утечкам информации, использованию более старой версии протокола. Кроме того, была исправлена ошибка, приводящая к переполнению буфера в приложениях, которые были явным образом настроены для SRP (CVE-2014-3512).

Подробное описание уязвимостей может быть получено по следующему адресу: www.openssl.org/news/secadv_20140806.txt

Важно обновить и пакет libssl1.0.0, а не только пакет openssl.

Все приложения, связанные с openssl должны быть перезапущены. Вы можете использовать инструмент checkrestart из пакета debian-goodies для того, чтобы обнаружить соответствующие программы. Также вы можете просто перезапустить вашу систему.

В стабильном выпуске (wheezy) эти проблемы были исправлены в версии 1.0.1e-2+deb7u12.

В тестируемом выпуске (jessie) эти проблемы будут исправлены позже.

В нестабильном выпуске (sid) эти проблемы были исправлены в версии 1.0.1i-1.

Рекомендуется обновить пакеты openssl.