Информация по безопасности / 2016 / Информация о безопасности -- DSA-3673-1 openssl

Рекомендация Debian по безопасности

DSA-3673-1 openssl -- обновление безопасности

Дата сообщения:

22.09.2016

Затронутые пакеты:

openssl

Уязвим:

Да

Ссылки на базы данных по безопасности:

В каталоге Mitre CVE: CVE-2016-2177, CVE-2016-2178, CVE-2016-2179, CVE-2016-2180, CVE-2016-2181, CVE-2016-2182, CVE-2016-2183, CVE-2016-6302, CVE-2016-6303, CVE-2016-6304, CVE-2016-6306.

Более подробная информация:

В OpenSSL было обнаружено несколько уязвимостей:

• CVE-2016-2177

  Гвидо Вранкен обнаружил, что OpenSSL использует неопределённую арифметическую операцию над указателями. Дополнительную информацию можно найти по следующему адресу: https://www.openssl.org/blog/blog/2016/06/27/undefined-pointer-arithmetic/

• CVE-2016-2178

  Цезарь Переида, Билли Брамли и Ювал Яром обнаружили утечку таймингов в коде DSA.

• CVE-2016-2179 / CVE-2016-2181

  Цюань Ло и команда аудита OCAP обнаружили отказы в обслуживании в DTLS.

• CVE-2016-2180 / CVE-2016-2182 / CVE-2016-6303

  Ши Лэй обнаружил чтение за пределами выделенного буфера памяти в TS_OBJ_print_bio() и запись за пределами выделенного буфера памяти в BN_bn2dec() and MDC2_Update().

• CVE-2016-2183

  Наборы шифров на основе DES перенесены из группы HIGH в группу MEDIUM с целью снизить риск SWEET32-атаки.

• CVE-2016-6302

  Ши Лэй обнаружил, что код использования SHA512 в билетах сессий TLS возможно содержит отказ в обслуживании.

• CVE-2016-6304

  Ши Лэй обнаружил, что слишком большой запрос OCSP-статуса может приводить к отказу в обслуживании из-за исчерпания памяти.

• CVE-2016-6306

  Ши Лэй обнаружил, что отсутствие проверки длины сообщения при выполнении грамматического разбора сертификатов может потенциально приводить к отказу в обслуживании.

В стабильном выпуске (jessie) эти проблемы были исправлены в версии 1.0.1t-1+deb8u4.

В нестабильном выпуске (sid) эти проблемы будут исправлены позже.

Рекомендуется обновить пакеты openssl.