Информация по безопасности / 2014 / Информация о безопасности -- DSA-2950-1 openssl

Рекомендация Debian по безопасности

DSA-2950-1 openssl -- обновление безопасности

Дата сообщения:

05.06.2014

Затронутые пакеты:

openssl

Уязвим:

Да

Ссылки на базы данных по безопасности:

В каталоге Mitre CVE: CVE-2014-0195, CVE-2014-0221, CVE-2014-0224, CVE-2014-3470.

Более подробная информация:

В OpenSSL были обнаружены многочисленные уязвимости:

• CVE-2014-0195

  Юри Эдла обнаружил, что переполнение буфера при обработке фрагментов DTLS может приводить к выполнению произвольного кода или отказу в обслуживании.

• CVE-2014-0221

  Имре Рад обнаружил, что обработка приветственных пакетов DTLS возможно содержит уязвимость, приводящую к отказу в обслуживании.

• CVE-2014-0224

  Масаши Кикучи обнаружил, что специально сформированные рукопожатия могут приводить к принудительному использованию слабых ключей, что приводит к возможности осуществления атаки по принципу человек-в-середине.

• CVE-2014-3470

  Феликс Грёбер и Айвэн Фратрик обнаружили, что реализация анонимных шифровальных наборов ECDH возможно содержит уязвимость, приводящую к отказу в обслуживании.

Дополнительная информация может быть найдена по адресу: http://www.openssl.org/news/secadv_20140605.txt

В стабильном выпуске (wheezy) эти проблемы были исправлены в версии 1.0.1e-2+deb7u10. Все приложения, связанные с openssl, должны быть перезапущены. Вы можете использовать инструмент checkrestart из пакета debian-goodies для того, чтобы определить программы, которые следует перезапустить, либо перезапустить всю систему. Кроме того, готовится обновление безопасности для ядра Linux (CVE-2014-3153), поэтому вам всё равно придётся перезапустить систему. Самое время, не правда ли?

В нестабильном выпуске (sid) эти проблемы будут исправлены позже.

Рекомендуется обновить пакеты openssl.