Информация по безопасности / 2013 / Информация о безопасности -- DSA-2621-1 openssl

Рекомендация Debian по безопасности

DSA-2621-1 openssl -- несколько уязвимостей

Дата сообщения:

13.02.2013

Затронутые пакеты:

openssl

Уязвим:

Да

Ссылки на базы данных по безопасности:

В системе отслеживания ошибок Debian: Ошибка 699889.
В каталоге Mitre CVE: CVE-2013-0166, CVE-2013-0169.

Более подробная информация:

В OpenSSL были обнаружены многочисленные уязвимости. Проект Common Vulnerabilities and Exposures определяет следующие проблемы:

• CVE-2013-0166

  OpenSSL неправильно выполняет проверку подписи ответов OCSP, что позволяет удалённым атакующим вызывать отказ в обслуживании при помощи неправильного ключа.

• CVE-2013-0169

  Была обнаружена возможность атаки по сторонним каналам по таймингу в паддинге CBC, которая позволяет атакующему восстановить части текстовых данных при помощи статистического анализа специально сформированных пакетов, известного как проблема Lucky Thirteen.

В стабильном выпуске (squeeze) эти проблемы были исправлены в версии 0.9.8o-4squeeze14.

В тестируемом выпуске (wheezy) эти проблемы будут исправлены позже.

В нестабильном выпуске (sid) эти проблемы были исправлены в версии 1.0.1e-1.

Рекомендуется обновить пакеты openssl.