Карточка уязвимости
Характеристики уязвимости
Уровень опасности
Оценка CVSS
(AV:N/AC:M/Au:N/C:P/I:P/A:P)
Производитель ПО
Наименование ПО
Описание
В PolarSSL, легковесной библиотеке для шифрования и SSL/TLS, были
обнаружены множественные уязвимости:
CVE-2013-4623
Джек Ллойд обнаружил уязвимость, состоящую в отказе в обслуживании при
грамматическом разборе зашифрованных с помощью PEM сертификатов.
CVE-2013-5914
Пол Бродюр и TrustInSoft обнаружили переполнение буфера в
функции ssl_read_record(), потенциально позволяющее проводить выполнение
произвольного кода.
CVE-2013-5915
Сирил Арно и Пьер-Алан Фуко обнаружили атаки по времени против
реализации RSA.
В предыдущем стабильном выпуске (squeeze) эти проблемы будут исправлены в
версии 1.2.9-1~deb6u1 позже (из-за технических ограничений обновления не
могут быть выпущены одновременно).
В стабильном выпуске (wheezy) эти проблемы были исправлены в
версии 1.2.9-1~deb7u1.
В нестабильном выпуске (sid) эти проблемы были исправлены в
версии 1.3.1-1.
Мы рекомендуем вам обновить ваши пакеты polarssl.
обнаружены множественные уязвимости:
CVE-2013-4623
Джек Ллойд обнаружил уязвимость, состоящую в отказе в обслуживании при
грамматическом разборе зашифрованных с помощью PEM сертификатов.
CVE-2013-5914
Пол Бродюр и TrustInSoft обнаружили переполнение буфера в
функции ssl_read_record(), потенциально позволяющее проводить выполнение
произвольного кода.
CVE-2013-5915
Сирил Арно и Пьер-Алан Фуко обнаружили атаки по времени против
реализации RSA.
В предыдущем стабильном выпуске (squeeze) эти проблемы будут исправлены в
версии 1.2.9-1~deb6u1 позже (из-за технических ограничений обновления не
могут быть выпущены одновременно).
В стабильном выпуске (wheezy) эти проблемы были исправлены в
версии 1.2.9-1~deb7u1.
В нестабильном выпуске (sid) эти проблемы были исправлены в
версии 1.3.1-1.
Мы рекомендуем вам обновить ваши пакеты polarssl.
Как исправить
Проблема может быть решена обновлением операционной системы до следующих версий пакетов в зависимости от архитектуры:
Debian GNU/Linux 6:
noarch:
polarssl - 1.2.9-1~deb6u1
Debian GNU/Linux 7:
noarch:
polarssl - 1.2.9-1~deb7u1
Debian GNU/Linux 6:
noarch:
polarssl - 1.2.9-1~deb6u1
Debian GNU/Linux 7:
noarch:
polarssl - 1.2.9-1~deb7u1
Ссылки
http://www.debian.org/security/dsa-2782/
Источник: CVE
Наименование: CVE-2013-5914
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-5914
Источник: CVE
Наименование: CVE-2013-5915
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-5915
Источник: CVE
Наименование: CVE-2013-4623
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-4623
Источник: CVE
Наименование: CVE-2013-5914
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-5914
Источник: CVE
Наименование: CVE-2013-5915
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-5915
Источник: CVE
Наименование: CVE-2013-4623
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-4623