Рекомендация Debian по безопасности
DSA-3197-1 openssl -- обновление безопасности
- Дата сообщения:
- 19.03.2015
- Затронутые пакеты:
- openssl
- Уязвим:
- Да
- Ссылки на базы данных по безопасности:
- В каталоге Mitre CVE: CVE-2015-0209, CVE-2015-0286, CVE-2015-0287, CVE-2015-0288, CVE-2015-0289, CVE-2015-0292.
- Более подробная информация:
-
В OpenSSL, наборе инструментов Secure Sockets Layer, обнаружены многочисленные уязвимости. Проект Common Vulnerabilities and Exposures определяет следующие проблемы:
- CVE-2015-0286
Стивен Хэнсон обнаружил, что работа функции ASN1_TYPE_cmp() может быть завершена аварийно, что приводит к отказу в обслуживании.
- CVE-2015-0287
Эмилия Кэспер обнаружила повреждение содержимого памяти при грамматическом разборе ASN.1.
- CVE-2015-0289
Михал Залевски обнаружил разыменование NULL-указателя в коде для грамматического разбора PKCS#7, что приводит к отказу в обслуживании.
- CVE-2015-0292
Было обнаружено, что отсутствие очистки ввода в коде декодирования base64 может приводить к повреждению содержимого памяти.
- CVE-2015-0209
Было обнаружено, что некорректный закрытый ключ EC может приводить к повреждению содержимого памяти.
- CVE-2015-0288
Было обнаружено, что отсутствие очистки ввода в функции X509_to_X509_REQ() может приводить к отказу в обслуживании.
В стабильном выпуске (wheezy) эти проблемы были исправлены в версии 1.0.1e-2+deb7u15. В данном обновлении из списка шифров по умолчанию были удалены экспортные шифры.
Рекомендуется обновить пакеты openssl.
- CVE-2015-0286