Рекомендация Debian по безопасности

DSA-3566-1 openssl -- обновление безопасности

Дата сообщения:
03.05.2016
Затронутые пакеты:
openssl
Уязвим:
Да
Ссылки на базы данных по безопасности:
В каталоге Mitre CVE: CVE-2016-2105, CVE-2016-2106, CVE-2016-2107, CVE-2016-2108, CVE-2016-2109.
Более подробная информация:

В OpenSSL, наборе инструментов Secure Socket Layer, было обнаружено несколько уязвимостей.

  • CVE-2016-2105

    Гуидо Вранкен обнаружил, что в функции EVP_EncodeUpdate(), используемой для кодирования Base64, может возникнуть переполнение в том случае, если злоумышленник может передать ей большое количество данных. Это может приводить к повреждению содержимого динамической памяти.

  • CVE-2016-2106

    Гуидо Вранкен обнаружил, что в функции EVP_EncryptUpdate() может возникнуть переполнение в случае, если злоумышленник может передать ей большое количество данных. Это может приводить к повреждению содержимого динамической памяти.

  • CVE-2016-2107

    Юрай Соморовски обнаружил возможность предсказания заполнителя в реализации шифра AES CBC на основе набора инструкций AES-NI. Это может позволить злоумышленнику расшифровать трафик TLS, зашифрованный с помощью одного из наборов шифров на основе AES CBC.

  • CVE-2016-2108

    Дэвид Бенджамин из Google обнаружил, что две различных ошибки в коде кодировщика ASN.1, связанные с обработкой отрицательных нулевых целых значений и больших универсальных тегов, могут приводить к записи за пределами выделенного буфера памяти.

  • CVE-2016-2109

    Брайан Карпентер обнаружил, что когда данные ASN.1 считываются из BIO с помощью таких функций как d2i_CMS_bio(), короткая неправильная кодировка может вызвать выделение большого количества памяти, что приводит к потенциальному потреблению чрезмерных ресурсов или потреблению всей памяти.

Дополнительную информацию об этих проблемах можно найти в рекомендации по безопасности OpenSSL по адресу https://www.openssl.org/news/secadv/20160503.txt

В стабильном выпуске (jessie) эти проблемы были исправлены в версии 1.0.1k-3+deb8u5.

В нестабильном выпуске (sid) эти проблемы были исправлены в версии 1.0.2h-1.

Рекомендуется обновить пакеты openssl.