Карточка уязвимости
Характеристики уязвимости
Уровень опасности
Оценка CVSS
(AV:N/AC:L/Au:N/C:N/I:N/A:P)
Производитель ПО
Наименование ПО
Описание
Обнаружены две уязвимости в openssl, реализации протокола SSL,
использующей Codenomicon TLS Test Tool. Более подробную информацию
можно найти в NISCC
Vulnerability Advisory и рекомендации
OpenSSL. Проект Common Vulnerabilities and Exposures идентифицировал
следующие уязвимости:
CAN-2004-0079
Присваивание по нулевому указателю в функции do_change_cipher_spec().
Удалённый нападающий может выполнить "рукопожатие" SSL/TLS со специально
подобранными данными таким образом, чтобы вызвать обвал OpenSSL.
В некоторых приложениях это может привести к отказу в обслуживании.
CAN-2004-0081
Ошибка в старых версиях OpenSSL 0.9.6, которая может привести
к атаке на отказ в обслуживании (бесконечный цикл).
В стабильном дистрибутиве (woody) эти проблемы исправлены в пакете
openssl версии 0.9.6c-2.woody.6, пакете openssl094 версии 0.9.4-6.woody.4
и openssl095 версии 0.9.5a-6.woody.5.
В нестабильном дистрибутиве (sid) эти проблемы будут исправлены
в ближайшее время.
Мы рекомендуем вам обновить пакет openssl.
использующей Codenomicon TLS Test Tool. Более подробную информацию
можно найти в NISCC
Vulnerability Advisory и рекомендации
OpenSSL. Проект Common Vulnerabilities and Exposures идентифицировал
следующие уязвимости:
CAN-2004-0079
Присваивание по нулевому указателю в функции do_change_cipher_spec().
Удалённый нападающий может выполнить "рукопожатие" SSL/TLS со специально
подобранными данными таким образом, чтобы вызвать обвал OpenSSL.
В некоторых приложениях это может привести к отказу в обслуживании.
CAN-2004-0081
Ошибка в старых версиях OpenSSL 0.9.6, которая может привести
к атаке на отказ в обслуживании (бесконечный цикл).
В стабильном дистрибутиве (woody) эти проблемы исправлены в пакете
openssl версии 0.9.6c-2.woody.6, пакете openssl094 версии 0.9.4-6.woody.4
и openssl095 версии 0.9.5a-6.woody.5.
В нестабильном дистрибутиве (sid) эти проблемы будут исправлены
в ближайшее время.
Мы рекомендуем вам обновить пакет openssl.
Как исправить
Проблема может быть решена обновлением операционной системы до следующих версий пакетов в зависимости от архитектуры:
Debian GNU/Linux 3.0:
ppc:
libssl-dev - 0.9.6c-2.woody.6
libssl0.9.6 - 0.9.6c-2.woody.6
openssl - 0.9.6c-2.woody.6
libssl095a - 0.9.5a-6.woody.5
s390x:
libssl-dev - 0.9.6c-2.woody.6
libssl0.9.6 - 0.9.6c-2.woody.6
openssl - 0.9.6c-2.woody.6
m68k:
libssl-dev - 0.9.6c-2.woody.6
libssl0.9.6 - 0.9.6c-2.woody.6
openssl - 0.9.6c-2.woody.6
libssl095a - 0.9.5a-6.woody.5
i686:
libssl-dev - 0.9.6c-2.woody.6
libssl0.9.6 - 0.9.6c-2.woody.6
openssl - 0.9.6c-2.woody.6
libssl09 - 0.9.4-6.woody.3
libssl095a - 0.9.5a-6.woody.5
hppa:
libssl-dev - 0.9.6c-2.woody.6
libssl0.9.6 - 0.9.6c-2.woody.6
openssl - 0.9.6c-2.woody.6
sparc:
libssl-dev - 0.9.6c-2.woody.6
libssl0.9.6 - 0.9.6c-2.woody.6
openssl - 0.9.6c-2.woody.6
libssl095a - 0.9.5a-6.woody.5
alpha:
libssl-dev - 0.9.6c-2.woody.6
libssl0.9.6 - 0.9.6c-2.woody.6
openssl - 0.9.6c-2.woody.6
libssl095a - 0.9.5a-6.woody.5
ia64:
libssl-dev - 0.9.6c-2.woody.6
libssl0.9.6 - 0.9.6c-2.woody.6
openssl - 0.9.6c-2.woody.6
mips:
libssl-dev - 0.9.6c-2.woody.6
libssl0.9.6 - 0.9.6c-2.woody.6
openssl - 0.9.6c-2.woody.6
libssl095a - 0.9.5a-6.woody.5
noarch:
ssleay - 0.9.6c-2.woody.6
mipsel:
libssl-dev - 0.9.6c-2.woody.5
libssl0.9.6 - 0.9.6c-2.woody.5
openssl - 0.9.6c-2.woody.5
libssl095a - 0.9.5a-6.woody.5
arm:
libssl-dev - 0.9.6c-2.woody.6
libssl0.9.6 - 0.9.6c-2.woody.6
openssl - 0.9.6c-2.woody.6
libssl095a - 0.9.5a-6.woody.5
Debian GNU/Linux 3.0:
ppc:
libssl-dev - 0.9.6c-2.woody.6
libssl0.9.6 - 0.9.6c-2.woody.6
openssl - 0.9.6c-2.woody.6
libssl095a - 0.9.5a-6.woody.5
s390x:
libssl-dev - 0.9.6c-2.woody.6
libssl0.9.6 - 0.9.6c-2.woody.6
openssl - 0.9.6c-2.woody.6
m68k:
libssl-dev - 0.9.6c-2.woody.6
libssl0.9.6 - 0.9.6c-2.woody.6
openssl - 0.9.6c-2.woody.6
libssl095a - 0.9.5a-6.woody.5
i686:
libssl-dev - 0.9.6c-2.woody.6
libssl0.9.6 - 0.9.6c-2.woody.6
openssl - 0.9.6c-2.woody.6
libssl09 - 0.9.4-6.woody.3
libssl095a - 0.9.5a-6.woody.5
hppa:
libssl-dev - 0.9.6c-2.woody.6
libssl0.9.6 - 0.9.6c-2.woody.6
openssl - 0.9.6c-2.woody.6
sparc:
libssl-dev - 0.9.6c-2.woody.6
libssl0.9.6 - 0.9.6c-2.woody.6
openssl - 0.9.6c-2.woody.6
libssl095a - 0.9.5a-6.woody.5
alpha:
libssl-dev - 0.9.6c-2.woody.6
libssl0.9.6 - 0.9.6c-2.woody.6
openssl - 0.9.6c-2.woody.6
libssl095a - 0.9.5a-6.woody.5
ia64:
libssl-dev - 0.9.6c-2.woody.6
libssl0.9.6 - 0.9.6c-2.woody.6
openssl - 0.9.6c-2.woody.6
mips:
libssl-dev - 0.9.6c-2.woody.6
libssl0.9.6 - 0.9.6c-2.woody.6
openssl - 0.9.6c-2.woody.6
libssl095a - 0.9.5a-6.woody.5
noarch:
ssleay - 0.9.6c-2.woody.6
mipsel:
libssl-dev - 0.9.6c-2.woody.5
libssl0.9.6 - 0.9.6c-2.woody.5
openssl - 0.9.6c-2.woody.5
libssl095a - 0.9.5a-6.woody.5
arm:
libssl-dev - 0.9.6c-2.woody.6
libssl0.9.6 - 0.9.6c-2.woody.6
openssl - 0.9.6c-2.woody.6
libssl095a - 0.9.5a-6.woody.5
Ссылки
http://www.debian.org/security/dsa-465/
Источник: CVE
Наименование: CVE-2004-0081
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2004-0081
Источник: CVE
Наименование: CVE-2004-0079
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2004-0079
Источник: CVE
Наименование: CVE-2004-0081
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2004-0081
Источник: CVE
Наименование: CVE-2004-0079
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2004-0079