Информация по безопасности / 2015 / Информация о безопасности -- DSA-3413-1 openssl

Рекомендация Debian по безопасности

DSA-3413-1 openssl -- обновление безопасности

Дата сообщения:

04.12.2015

Затронутые пакеты:

openssl

Уязвим:

Да

Ссылки на базы данных по безопасности:

В каталоге Mitre CVE: CVE-2015-3194, CVE-2015-3195, CVE-2015-3196.

Более подробная информация:

В OpenSSL, наборе инструментов Secure Sockets Layer, были обнаружны многочисленные уязвимости. Проект Common Vulnerabilities and Exposures определяет следующие проблемы:

• CVE-2015-3194

  Лоик Йонас Этьен из Qnective AG обнаружил, что функции проверки подписей аварийно завершают работу приложения с одновременным разыменованием NULL-указателя в случае, если им передаётся подпись ASN.1, использующая алгоритм RSA PSS, а параметр функции порождения маски отсутствует. Удалённый злоумышленник может использовать данную уязвимость для аварийного завершения проверки любого сертификата и вызова отказа в обслуживании.

• CVE-2015-3195

  Адам Лэнгли из Google/BoringSSL обнаружил утечку памяти в OpenSSL, которая возникает при обработке некорректной структуры X509_ATTRIBUTE.

• CVE-2015-3196

  Было обнаружено состояние гонки в коде обработки подсказок идентификации PSK, которое потенциально приводит к двойному освобождению данных подсказки идентификации.

В предыдущем стабильном выпуске (wheezy) эти проблемы были исправлены в версии 1.0.1e-2+deb7u18.

В стабильном выпуске (jessie) эти проблемы были исправлены в версии 1.0.1k-3+deb8u2.

В нестабильном выпуске (sid) эти проблемы были исправлены в версии 1.0.2e-1 или более ранних.

Рекомендуется обновить пакеты openssl.