Рекомендация Debian по безопасности

DLA-177-1 openssl -- обновление безопасности LTS

Дата сообщения:
20.03.2015
Затронутые пакеты:
openssl
Уязвим:
Да
Ссылки на базы данных по безопасности:
В каталоге Mitre CVE: CVE-2015-0209, CVE-2015-0286, CVE-2015-0287, CVE-2015-0288, CVE-2015-0289, CVE-2015-0292, CVE-2015-0293.
Более подробная информация:

В OpenSSL, наборе инструментов Secure Sockets Layer, были обнаружены многочисленные уязвимости. Проект Common Vulnerabilities and Exposures определяет следующие проблемы:

  • CVE-2015-0209

    Было обнаружено, что некорректный закрытый ключ EC может приводить к повреждению содержимого памяти.

  • CVE-2015-0286

    Стивен Хэнсон обнаружил, что функция ASN1_TYPE_cmp() может аварийно завершить свою работу, что приводит к отказу в обслуживании.

  • CVE-2015-0287

    Эмилия Кэспер обнаружила повреждение содержимого памяти при выполнении грамматического разбора ASN.1.

  • CVE-2015-0288

    Было обнаружено, что отсутствие очистки входных данных в функции X509_to_X509_REQ() может приводить к отказу в обслуживании.

  • CVE-2015-0289

    Михал Залевски обнаружил разыменование NULL-указателей в коде для выполнения грамматического разбора PKCS#7, которое приводит к отказу в обслуживании.

  • CVE-2015-0292

    Было обнаружено, что отсутствие очистки входных данных в коде для декодирования base64 может приводить к повреждению содержимого памяти.

  • CVE-2015-0293

    Злоумышленник путём отправки специально сформированного SSLv2-сообщения CLIENT-MASTER-KEY может вызвать OPENSSL_assert (т. е., принудительное прекращение работы) на сервере, поддерживающем SSLv2, и на котором включена возможность экспорта шифров.

В Debian 6 Squeeze эти проблемы были исправлены в openssl версии 0.9.8o-4squeeze20