Рекомендация Debian по безопасности

DSA-4017-1 openssl1.0 -- обновление безопасности

Дата сообщения:
03.11.2017
Затронутые пакеты:
openssl1.0
Уязвим:
Да
Ссылки на базы данных по безопасности:
В каталоге Mitre CVE: CVE-2017-3735, CVE-2017-3736.
Более подробная информация:

В OpenSSL, наборе инструментов Secure Sockets Layer, были обнаружены многочисленные уязвимости. Проект Common Vulnerabilities and Exposures определяет следующие проблемы:

  • CVE-2017-3735

    Было обнаружено, что OpenSSL уязвим к чтению одного байта за пределами выделенного буфера, что проявляется при выполнении грамматического разбора некорректного расширения IPAddressFamily сертификата X.509.

    Подробности можно найти в рекомендации из основной ветки разработки: https://www.openssl.org/news/secadv/20170828.txt

  • CVE-2017-3736

    Было обнаружено, что OpenSSL содержит ошибку распространения сигнала переноса в процедуре быстрого возведения в степени по Монтгомери для архитектуры x86_64.

    Подробности можно найти в рекомендации из основной ветки разработки: https://www.openssl.org/news/secadv/20171102.txt

В стабильном выпуске (stretch) эти проблемы были исправлены в версии 1.0.2l-2+deb9u1.

В нестабильном выпуске (sid) эти проблемы были исправлены в версии 1.0.2m-1.

Рекомендуется обновить пакеты openssl1.0.