Рекомендация Debian по безопасности

DSA-3673-1 openssl -- обновление безопасности

Дата сообщения:
22.09.2016
Затронутые пакеты:
openssl
Уязвим:
Да
Ссылки на базы данных по безопасности:
В каталоге Mitre CVE: CVE-2016-2177, CVE-2016-2178, CVE-2016-2179, CVE-2016-2180, CVE-2016-2181, CVE-2016-2182, CVE-2016-2183, CVE-2016-6302, CVE-2016-6303, CVE-2016-6304, CVE-2016-6306.
Более подробная информация:

В OpenSSL было обнаружено несколько уязвимостей:

  • CVE-2016-2177

    Гвидо Вранкен обнаружил, что OpenSSL использует неопределённую арифметическую операцию над указателями. Дополнительную информацию можно найти по следующему адресу: https://www.openssl.org/blog/blog/2016/06/27/undefined-pointer-arithmetic/

  • CVE-2016-2178

    Цезарь Переида, Билли Брамли и Ювал Яром обнаружили утечку таймингов в коде DSA.

  • CVE-2016-2179 / CVE-2016-2181

    Цюань Ло и команда аудита OCAP обнаружили отказы в обслуживании в DTLS.

  • CVE-2016-2180 / CVE-2016-2182 / CVE-2016-6303

    Ши Лэй обнаружил чтение за пределами выделенного буфера памяти в TS_OBJ_print_bio() и запись за пределами выделенного буфера памяти в BN_bn2dec() and MDC2_Update().

  • CVE-2016-2183

    Наборы шифров на основе DES перенесены из группы HIGH в группу MEDIUM с целью снизить риск SWEET32-атаки.

  • CVE-2016-6302

    Ши Лэй обнаружил, что код использования SHA512 в билетах сессий TLS возможно содержит отказ в обслуживании.

  • CVE-2016-6304

    Ши Лэй обнаружил, что слишком большой запрос OCSP-статуса может приводить к отказу в обслуживании из-за исчерпания памяти.

  • CVE-2016-6306

    Ши Лэй обнаружил, что отсутствие проверки длины сообщения при выполнении грамматического разбора сертификатов может потенциально приводить к отказу в обслуживании.

В стабильном выпуске (jessie) эти проблемы были исправлены в версии 1.0.1t-1+deb8u4.

В нестабильном выпуске (sid) эти проблемы будут исправлены позже.

Рекомендуется обновить пакеты openssl.