• Все разделы
  • Статьи
  • Медиа
  • Новости
  • Нормативные материалы
  • Конференции
  • Глоссарий

DSA-2950-1 openssl -- обновление безопасности

Главная Специалистам База уязвимостей DSA-2950-1 openssl -- обновление безопасности

Карточка уязвимости

Характеристики уязвимости

Уровень опасности
Оценка CVSS
(AV:N/AC:M/Au:N/C:P/I:P/A:P)
Производитель ПО
Наименование ПО
openssl (any)
Описание
В OpenSSL были обнаружены многочисленные уязвимости:

CVE-2014-0195
Юри Эдла обнаружил, что переполнение буфера при обработке фрагментов DTLS
    может приводить к выполнению произвольного кода или отказу в
    обслуживании.
CVE-2014-0221
Имре Рад обнаружил, что обработка приветственных пакетов DTLS возможно
    содержит уязвимость, приводящую к отказу в обслуживании.
CVE-2014-0224
Масаши Кикучи обнаружил, что специально сформированные рукопожатия могут
    приводить к принудительному использованию слабых ключей, что приводит к возможности осуществления атаки по принципу
    человек-в-середине.
CVE-2014-3470
Феликс Грёбер и Айвэн Фратрик обнаружили, что реализация
    анонимных шифровальных наборов ECDH возможно содержит уязвимость, приводящую к отказу в обслуживании.

Дополнительная информация может быть найдена по адресу:
http://www.openssl.org/news/secadv_20140605.txthttp://www.openssl.org/news/secadv_20140605.txt">http://www.openssl.org/news/secadv_20140605.txt /> В стабильном выпуске (wheezy) эти проблемы были исправлены в
версии 1.0.1e-2+deb7u10. Все приложения, связанные с openssl, должны быть
перезапущены. Вы можете использовать инструмент checkrestart из пакета
debian-goodies для того, чтобы определить программы, которые следует перезапустить, либо перезапустить всю систему. Кроме того,
готовится обновление безопасности для ядра Linux
(CVE-2014-3153), поэтому вам всё равно придётся перезапустить систему. Самое время, не правда ли?
В нестабильном выпуске (sid) эти проблемы будут исправлены позже.
Рекомендуется обновить пакеты openssl.
Как исправить
Проблема может быть решена обновлением операционной системы до следующих версий пакетов в зависимости от архитектуры:
Debian GNU/Linux 7:
noarch:
openssl - 1.0.1e-2+deb7u10
Ссылки
http://www.debian.org/security/dsa-2950/

Источник: CVE
Наименование: CVE-2014-3470
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-3470

Источник: CVE
Наименование: CVE-2014-0221
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-0221

Источник: CVE
Наименование: CVE-2014-0224
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-0224

Источник: CVE
Наименование: CVE-2014-0195
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-0195