Карточка уязвимости
Характеристики уязвимости
Уровень опасности
Оценка CVSS
(AV:N/AC:L/Au:N/C:N/I:N/A:P)
Производитель ПО
Наименование ПО
Описание
Д-р Стивен Хенсон (Stephen Henson) steve@openssl.org,
используя инструментарий для тестирования, разработанный NISCC
(http://www.niscc.gov.uk/),">http://www.niscc.gov.uk/">http://www.niscc.gov.uk/), обнаружил несколько ошибок в коде
ASN1 OpenSSL. В сочетании с ошибками, заставляющими код OpenSSL
анализировать сертификаты клиентов даже если это не нужно, эти ошибки
могут вызвать в системе, использующей код OpenSSL, отказ в обслуживании
(denial of service, DoS) в зависимости от того, каким образом этот код
используется. Например, несмотря на то, что apache-ssl и ssh скомпонованы
с библиотеками OpenSSL, они, по-видимому, не затронуты этой уязвимостью.
Те не менее, другие приложения с поддержкой SSL могут быть уязвимы.
Рекомендуется обновление OpenSSL.
В текущем стабильном дистрибутиве (woody) эти проблемы исправлены
в версии 0.9.6c-2.woody.4.
В нестабильном дистрибутиве (sid) эти проблемы исправлены
в версии 0.9.7c-1.
Мы рекомендуем вам обновить пакет openssl. Имейте в виду, что чтобы
обновление возымело силу, вам потребуется перезапустить серверы,
использующие библиотеку libssl.
используя инструментарий для тестирования, разработанный NISCC
(http://www.niscc.gov.uk/),">http://www.niscc.gov.uk/">http://www.niscc.gov.uk/), обнаружил несколько ошибок в коде
ASN1 OpenSSL. В сочетании с ошибками, заставляющими код OpenSSL
анализировать сертификаты клиентов даже если это не нужно, эти ошибки
могут вызвать в системе, использующей код OpenSSL, отказ в обслуживании
(denial of service, DoS) в зависимости от того, каким образом этот код
используется. Например, несмотря на то, что apache-ssl и ssh скомпонованы
с библиотеками OpenSSL, они, по-видимому, не затронуты этой уязвимостью.
Те не менее, другие приложения с поддержкой SSL могут быть уязвимы.
Рекомендуется обновление OpenSSL.
В текущем стабильном дистрибутиве (woody) эти проблемы исправлены
в версии 0.9.6c-2.woody.4.
В нестабильном дистрибутиве (sid) эти проблемы исправлены
в версии 0.9.7c-1.
Мы рекомендуем вам обновить пакет openssl. Имейте в виду, что чтобы
обновление возымело силу, вам потребуется перезапустить серверы,
использующие библиотеку libssl.
Как исправить
Проблема может быть решена обновлением операционной системы до следующих версий пакетов в зависимости от архитектуры:
Debian GNU/Linux 3.0:
ppc:
libssl-dev - 0.9.6c-2.woody.4
openssl - 0.9.6c-2.woody.4
libssl0.9.6 - 0.9.6c-2.woody.4
s390x:
libssl0.9.6 - 0.9.6c-2.woody.4
openssl - 0.9.6c-2.woody.4
libssl-dev - 0.9.6c-2.woody.4
m68k:
openssl - 0.9.6c-2.woody.4
libssl0.9.6 - 0.9.6c-2.woody.4
libssl-dev - 0.9.6c-2.woody.4
i686:
libssl0.9.6 - 0.9.6c-2.woody.4
openssl - 0.9.6c-2.woody.4
libssl-dev - 0.9.6c-2.woody.4
hppa:
libssl-dev - 0.9.6c-2.woody.4
libssl0.9.6 - 0.9.6c-2.woody.4
openssl - 0.9.6c-2.woody.4
sparc:
libssl0.9.6 - 0.9.6c-2.woody.4
libssl-dev - 0.9.6c-2.woody.4
openssl - 0.9.6c-2.woody.4
alpha:
libssl-dev - 0.9.6c-2.woody.4
libssl0.9.6 - 0.9.6c-2.woody.4
openssl - 0.9.6c-2.woody.4
ia64:
openssl - 0.9.6c-2.woody.4
libssl0.9.6 - 0.9.6c-2.woody.4
libssl-dev - 0.9.6c-2.woody.4
mips:
openssl - 0.9.6c-2.woody.4
libssl-dev - 0.9.6c-2.woody.4
libssl0.9.6 - 0.9.6c-2.woody.4
noarch:
ssleay - 0.9.6c-2.woody.4
mipsel:
openssl - 0.9.6c-2.woody.4
libssl-dev - 0.9.6c-2.woody.4
libssl0.9.6 - 0.9.6c-2.woody.4
arm:
libssl0.9.6 - 0.9.6c-2.woody.4
libssl-dev - 0.9.6c-2.woody.4
openssl - 0.9.6c-2.woody.4
Debian GNU/Linux 3.0:
ppc:
libssl-dev - 0.9.6c-2.woody.4
openssl - 0.9.6c-2.woody.4
libssl0.9.6 - 0.9.6c-2.woody.4
s390x:
libssl0.9.6 - 0.9.6c-2.woody.4
openssl - 0.9.6c-2.woody.4
libssl-dev - 0.9.6c-2.woody.4
m68k:
openssl - 0.9.6c-2.woody.4
libssl0.9.6 - 0.9.6c-2.woody.4
libssl-dev - 0.9.6c-2.woody.4
i686:
libssl0.9.6 - 0.9.6c-2.woody.4
openssl - 0.9.6c-2.woody.4
libssl-dev - 0.9.6c-2.woody.4
hppa:
libssl-dev - 0.9.6c-2.woody.4
libssl0.9.6 - 0.9.6c-2.woody.4
openssl - 0.9.6c-2.woody.4
sparc:
libssl0.9.6 - 0.9.6c-2.woody.4
libssl-dev - 0.9.6c-2.woody.4
openssl - 0.9.6c-2.woody.4
alpha:
libssl-dev - 0.9.6c-2.woody.4
libssl0.9.6 - 0.9.6c-2.woody.4
openssl - 0.9.6c-2.woody.4
ia64:
openssl - 0.9.6c-2.woody.4
libssl0.9.6 - 0.9.6c-2.woody.4
libssl-dev - 0.9.6c-2.woody.4
mips:
openssl - 0.9.6c-2.woody.4
libssl-dev - 0.9.6c-2.woody.4
libssl0.9.6 - 0.9.6c-2.woody.4
noarch:
ssleay - 0.9.6c-2.woody.4
mipsel:
openssl - 0.9.6c-2.woody.4
libssl-dev - 0.9.6c-2.woody.4
libssl0.9.6 - 0.9.6c-2.woody.4
arm:
libssl0.9.6 - 0.9.6c-2.woody.4
libssl-dev - 0.9.6c-2.woody.4
openssl - 0.9.6c-2.woody.4
Ссылки
http://www.debian.org/security/dsa-393/
Источник: CVE
Наименование: CVE-2003-0544
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2003-0544
Источник: CVE
Наименование: CVE-2003-0543
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2003-0543
Источник: CVE
Наименование: CVE-2003-0544
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2003-0544
Источник: CVE
Наименование: CVE-2003-0543
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2003-0543