Информация по безопасности / 2017 / Информация о безопасности -- DSA-4018-1 openssl

Рекомендация Debian по безопасности

DSA-4018-1 openssl -- обновление безопасности

Дата сообщения:

04.11.2017

Затронутые пакеты:

openssl

Уязвим:

Да

Ссылки на базы данных по безопасности:

В каталоге Mitre CVE: CVE-2017-3735, CVE-2017-3736.

Более подробная информация:

В OpenSSL, наборе инструментов Secure Sockets Layer, были обнаружены многочисленные уязвимости. Проект Common Vulnerabilities and Exposures определяет следующие проблемы:

• CVE-2017-3735

  Было обнаружено, что OpenSSL уязвим к чтению одного байта за пределами выделенного буфера, что проявляется при выполнении грамматического разбора некорректного расширения IPAddressFamily сертификата X.509.

  Подробности можно найти в рекомендации из основной ветки разработки: https://www.openssl.org/news/secadv/20170828.txt

• CVE-2017-3736

  Было обнаружено, что OpenSSL содержит ошибку распространения сигнала переноса в процедуре быстрого возведения в степени по Монтгомери для архитектуры x86_64.

  Подробности можно найти в рекомендации из основной ветки разработки: https://www.openssl.org/news/secadv/20171102.txt

В предыдущем стабильном выпуске (jessie), уязвимость CVE-2017-3735 была исправлена в версии 1.0.1t-1+deb8u7. Предыдущий стабильный выпуск не подвержен уязвимости CVE-2017-3736.

В стабильном выпуске (stretch) эти проблемы были исправлены в версии 1.1.0f-3+deb9u1.

В нестабильном выпуске (sid) эти проблемы были исправлены в версии 1.1.0g-1.

Рекомендуется обновить пакеты openssl.