Информация по безопасности / 2011 / Информация о безопасности -- DSA-2162-1 openssl

Рекомендация Debian по безопасности

DSA-2162-1 openssl -- доступ к недопустимой области памяти

Дата сообщения:

14.02.2011

Затронутые пакеты:

openssl

Уязвим:

Да

Ссылки на базы данных по безопасности:

В каталоге Mitre CVE: CVE-2011-0014.

Более подробная информация:

Neel Mehta обнаружил, что неправильный формат посылки процедуры согласования ClientHello может заставить OpenSSL обрабатывать данные за пределами данной посылки. Это позволяет злоумышленнику вызывать фатальные ошибки в приложениях, использующих OpenSSL, обращением к недопустимой области памяти. Кроме того, некоторые приложения могут быть скомпрометированы раскрытием содержимого расшифрованного расширения OSCP nonce

Пакеты в прошлом стабильном дистрибутиве (Lenny) не подвержены этой уязвимости.

В стабильном дистрибутиве (Squeeze) эта уязвимость была исправлена в версии 0.9.8o-4squeeze1.

В тестируемом дистрибутиве (Wheezy) эта уязвимость была исправлена в версии 0.9.8o-5.

В нестабильном дистрибутиве (Sid) эта уязвимость была исправлена в версии 0.9.8o-5.

Мы рекомендуем вам обновить пакеты openssl.