Информация по безопасности / 2014 / Информация о безопасности -- DSA-2908-1 openssl

Рекомендация Debian по безопасности

DSA-2908-1 openssl -- обновление безопасности

Дата сообщения:

17.04.2014

Затронутые пакеты:

openssl

Уязвим:

Да

Ссылки на базы данных по безопасности:

В системе отслеживания ошибок Debian: Ошибка 742923.
В каталоге Mitre CVE: CVE-2010-5298, CVE-2014-0076.

Более подробная информация:

В OpenSSL были обнаружены многочисленные уязвимости. Им присвоены следующие идентификаторы проекта Common Vulnerabilities and Exposures:

• CVE-2010-5298

  Буфер может быть освобождён даже тогда, когда он всё ещё содержит данные, которые должна быть использована позже, это приводит к использованию указателей после освобождения памяти. Учитывая условие гонки в многопоточном приложении, эта ошибка может позволит атакующему ввести данные с одного соединения в другое, либо вызвать отказ в обслуживании.

• CVE-2014-0076

  Одноразовые номера ECDSA могут быть восстановлены через атаку по стороннему каналу на кэш Yarom/Benger FLUSH+RELOAD.

Третья проблема, которая не имеет идентификатора CVE, состоит в отсутствии обнаружения флага critical у использования расширенных TSA ключей при определённых обстоятельствах.

Кроме того, данное обновление проверяет дополнительные службы, которые возможно следует перезапустить после обновления libssl, исправляет обнаружение apache2 и postgresql, а также добавляет поддержку настройки debconf 'libraries/restart-without-asking'. Это позволяет перезапускать службы при обновлении без подтверждения от пользователя.

Предыдущий стабильный выпуск (squeeze) не подвержен CVE-2010-5298, для исправления остальных уязвимостей он может быть обновлён позже.

Стабильный выпуск (wheezy) эти проблемы были исправлены в версии 1.0.1e-2+deb7u7.

В тестируемом выпуске (jessie) эти проблемы будут исправлены позже.

В нестабильном выпуске (sid) эти проблемы были исправлены в версии 1.0.1g-3.

Рекомендуется обновить пакеты openssl.