Рекомендация Debian по безопасности

DLA-132-1 openssl -- обновление безопасности LTS

Дата сообщения:
11.01.2015
Затронутые пакеты:
openssl
Уязвим:
Да
Ссылки на базы данных по безопасности:
В каталоге Mitre CVE: CVE-2014-3570, CVE-2014-3571, CVE-2014-3572, CVE-2014-8275, CVE-2015-0204.
Более подробная информация:

В OpenSSL, наборе инструментов Secure Sockets Layer, были обнаружены многочисленные уязвимости. Проект Common Vulnerabilities and Exposures определяет следующие проблемы:

  • CVE-2014-3570

    Питер Вуилль из Blockstream сообщил, что возведение в квадрат сверхбольших чисел (BN_sqr) может на некоторых платформах выдавать неправильные результаты, что облегчает удалённым пользователям обход механизма криптографической защиты.

  • CVE-2014-3571

    Маркус Штенберг из Cisco Systems, Inc. сообщил, что специально сформированное сообщение DTLS может вызывать ошибку сегментирования в OpenSSL из-за разыменования NULL-указателя. Удалённый злоумышленник может использовать данную уязвимость для вызова отказа в обслуживании.

  • CVE-2014-3572

    Картикеян Бхаргаван из команды PROSECCO из INRIA сообщил, что клиент OpenSSL принимает рукопожатие, используя недолговечный набор шифров ECDH в случае, если пропущено сообщение сервера по обмену ключей. Это позволяет удалённым SSL-серверам выполнять атаки по снижению уровня защиты ECDHE до ECDH и вызывать потерю защищённости.

  • CVE-2014-8275

    Антти Карялаинен и Туомо Унтинен из проекта Codenomicon CROSS и Конрад Крашевски из Google сообщили о различных проблемах с отпечатками сертификата, которые могут позволить удалённым злоумышленникам обойти механизмы защиты на основе чёрного списка сертификатов, содержащего отпечатки.

  • CVE-2015-0204

    Картикеян Бхаргаван из команды PROSECCO из INRIA сообщил, что клиент OpenSSL принимает использование недолговечного ключа RSA в неэкспортном наборе шифров для обмена ключами RSA, нарушая стандарт TLS. Это позволяет удалённым SSL-серверам снижать уровень совершенной прямой секретности сессии.

В Debian 6 Squeeze эти проблемы были исправлены в openssl версии 0.9.8o-4squeeze19