Рекомендация Debian по безопасности
DSA-3673-1 openssl -- обновление безопасности
- Дата сообщения:
- 22.09.2016
- Затронутые пакеты:
- openssl
- Уязвим:
- Да
- Ссылки на базы данных по безопасности:
- В каталоге Mitre CVE: CVE-2016-2177, CVE-2016-2178, CVE-2016-2179, CVE-2016-2180, CVE-2016-2181, CVE-2016-2182, CVE-2016-2183, CVE-2016-6302, CVE-2016-6303, CVE-2016-6304, CVE-2016-6306.
- Более подробная информация:
-
В OpenSSL было обнаружено несколько уязвимостей:
- CVE-2016-2177
Гвидо Вранкен обнаружил, что OpenSSL использует неопределённую арифметическую операцию над указателями. Дополнительную информацию можно найти по следующему адресу: https://www.openssl.org/blog/blog/2016/06/27/undefined-pointer-arithmetic/
- CVE-2016-2178
Цезарь Переида, Билли Брамли и Ювал Яром обнаружили утечку таймингов в коде DSA.
- CVE-2016-2179 / CVE-2016-2181
Цюань Ло и команда аудита OCAP обнаружили отказы в обслуживании в DTLS.
- CVE-2016-2180 / CVE-2016-2182 / CVE-2016-6303
Ши Лэй обнаружил чтение за пределами выделенного буфера памяти в TS_OBJ_print_bio() и запись за пределами выделенного буфера памяти в BN_bn2dec() and MDC2_Update().
- CVE-2016-2183
Наборы шифров на основе DES перенесены из группы HIGH в группу MEDIUM с целью снизить риск SWEET32-атаки.
- CVE-2016-6302
Ши Лэй обнаружил, что код использования SHA512 в билетах сессий TLS возможно содержит отказ в обслуживании.
- CVE-2016-6304
Ши Лэй обнаружил, что слишком большой запрос OCSP-статуса может приводить к отказу в обслуживании из-за исчерпания памяти.
- CVE-2016-6306
Ши Лэй обнаружил, что отсутствие проверки длины сообщения при выполнении грамматического разбора сертификатов может потенциально приводить к отказу в обслуживании.
В стабильном выпуске (jessie) эти проблемы были исправлены в версии 1.0.1t-1+deb8u4.
В нестабильном выпуске (sid) эти проблемы будут исправлены позже.
Рекомендуется обновить пакеты openssl.
- CVE-2016-2177