Рекомендация Debian по безопасности
DSA-2162-1 openssl -- доступ к недопустимой области памяти
- Дата сообщения:
- 14.02.2011
- Затронутые пакеты:
- openssl
- Уязвим:
- Да
- Ссылки на базы данных по безопасности:
- В каталоге Mitre CVE: CVE-2011-0014.
- Более подробная информация:
-
Neel Mehta обнаружил, что неправильный формат посылки процедуры согласования ClientHello может заставить OpenSSL обрабатывать данные за пределами данной посылки. Это позволяет злоумышленнику вызывать фатальные ошибки в приложениях, использующих OpenSSL, обращением к недопустимой области памяти. Кроме того, некоторые приложения могут быть скомпрометированы раскрытием содержимого расшифрованного расширения OSCP
nonce
Пакеты в прошлом стабильном дистрибутиве (Lenny) не подвержены этой уязвимости.
В стабильном дистрибутиве (Squeeze) эта уязвимость была исправлена в версии 0.9.8o-4squeeze1.
В тестируемом дистрибутиве (Wheezy) эта уязвимость была исправлена в версии 0.9.8o-5.
В нестабильном дистрибутиве (Sid) эта уязвимость была исправлена в версии 0.9.8o-5.
Мы рекомендуем вам обновить пакеты openssl.