• Все разделы
  • Статьи
  • Медиа
  • Новости
  • Нормативные материалы
  • Конференции
  • Глоссарий

Бюллетень безопасности RHSA-2011:0677-01

Главная Специалистам База уязвимостей Бюллетень безопасности RHSA-2011:0677-01

Карточка уязвимости

Характеристики уязвимости

Уровень опасности
Оценка CVSS
(AV:N/AC:L/Au:N/C:N/I:N/A:P)
Производитель ПО
Наименование ПО
Описание
OpenSSL - это инструмент, который реализует протоколы Secure Sockets Layer (SSL v2/v3) и Transport Layer Security (TLS v1), а также является полнофункциональной библиотекой шифрования общего назначения.
Ошибка, связанная с чтением буфера, обнаружена в OpenSSL при обработке расширений Certificate Status Request TLS в сообщениях ClientHello TLS handshake. Злоумышленник, действующий удаленно, может использовать данную уязвимость, чтобы вызвать аварийное завершение работы сервера SSL, используя уязвимую библиотеку OpenSSL. (CVE-2011-0014)
Данное обновление также исправляет следующие ошибки:
* Команда "openssl speed" (которая реализует алгоритм измерения скорости) выполняется некорректно,если openssl запущен в режиме FIPS (Federal Information Processing Standards), даже если используются подтвержденные FIPS-алгоритмы. Режим FIPS отключает шифры и криптографические хэш-алгоритмы, которые не одобрены стандартами NIST (National Institute of Standards and Technology). Данное обновление позволяет команде "openssl speed" работать корректно. (BZ#619762)
* Команда "openssl pkcs12 -export" некорректно выполняет экспорт файла PKCS#12 в режиме FIPS. Стандартный алгоритм шифрования сертификата в файле PKCS#12 не одобрен FIPS и поэтому не действовал. Теперь команда FIPS одобрила этот алгоритм как стандартный в режиме FIPS. (BZ#673453)
Данное обновление также исправляет следующие ошибки:
* команда "openssl s_server", которая ранее принимала подключения только по IPv4, теперь принимает подключения и по IPv6. (BZ#601612)
* Для целей запуска команд поддержки (например, "rsync") добавлена переменная окружения "OPENSSL_FIPS_NON_APPROVED_MD5_ALLOW". Когда система настроена в режиме FIPS и находится в состоянии поддержки, новая переменная окружения имеет такое значение, что программное обеспечение, которое требует использования криптографического хэш-алгоритма MD5, будет запущено, даже если хэш-алгоритм не одобрен стандартом FIPS-140-2. (BZ#673071)
Пользователям OpenSSL рекомендуется обновить свое программное обеспечение. Чтобы изменения вступили в силу, все службы, использующие библиотеку OpenSSL, должны быть перезапущены или система должна быть перезагружена.
Как исправить
Для устранения уязвимости необходимо установить последнюю версию продукта, соответствующую используемой платформе. Необходимую информацию можно получить по адресу:
https://rhn.redhat.com/errata/RHSA-2011-0677.html
Ссылки
CVE (CVE-2011-0014): https://www.redhat.com/security/data/cve/CVE-2011-0014.html
BUGZILLA (601612): http://bugzilla.redhat.com/601612
BUGZILLA (619762): http://bugzilla.redhat.com/619762
BUGZILLA (676063): http://bugzilla.redhat.com/676063

Источник: CVE
Наименование: CVE-2011-0014
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-0014