Карточка уязвимости
Характеристики уязвимости
Уровень опасности
Оценка CVSS
(AV:N/AC:M/Au:N/C:P/I:P/A:P)
Производитель ПО
Наименование ПО
openssl
(any)
Описание
В OpenSSL были обнаружены многочисленные уязвимости:
CVE-2014-0195
Юри Эдла обнаружил, что переполнение буфера при обработке фрагментов DTLS
может приводить к выполнению произвольного кода или отказу в
обслуживании.
CVE-2014-0221
Имре Рад обнаружил, что обработка приветственных пакетов DTLS возможно
содержит уязвимость, приводящую к отказу в обслуживании.
CVE-2014-0224
Масаши Кикучи обнаружил, что специально сформированные рукопожатия могут
приводить к принудительному использованию слабых ключей, что приводит к возможности осуществления атаки по принципу
человек-в-середине.
CVE-2014-3470
Феликс Грёбер и Айвэн Фратрик обнаружили, что реализация
анонимных шифровальных наборов ECDH возможно содержит уязвимость, приводящую к отказу в обслуживании.
Дополнительная информация может быть найдена по адресу:
http://www.openssl.org/news/secadv_20140605.txt
http://www.openssl.org/news/secadv_20140605.txt">http://www.openssl.org/news/secadv_20140605.txt
/> В стабильном выпуске (wheezy) эти проблемы были исправлены в
версии 1.0.1e-2+deb7u10. Все приложения, связанные с openssl, должны быть
перезапущены. Вы можете использовать инструмент checkrestart из пакета
debian-goodies для того, чтобы определить программы, которые следует перезапустить, либо перезапустить всю систему. Кроме того,
готовится обновление безопасности для ядра Linux
(CVE-2014-3153), поэтому вам всё равно придётся перезапустить систему. Самое время, не правда ли?
В нестабильном выпуске (sid) эти проблемы будут исправлены позже.
Рекомендуется обновить пакеты openssl.
CVE-2014-0195
Юри Эдла обнаружил, что переполнение буфера при обработке фрагментов DTLS
может приводить к выполнению произвольного кода или отказу в
обслуживании.
CVE-2014-0221
Имре Рад обнаружил, что обработка приветственных пакетов DTLS возможно
содержит уязвимость, приводящую к отказу в обслуживании.
CVE-2014-0224
Масаши Кикучи обнаружил, что специально сформированные рукопожатия могут
приводить к принудительному использованию слабых ключей, что приводит к возможности осуществления атаки по принципу
человек-в-середине.
CVE-2014-3470
Феликс Грёбер и Айвэн Фратрик обнаружили, что реализация
анонимных шифровальных наборов ECDH возможно содержит уязвимость, приводящую к отказу в обслуживании.
Дополнительная информация может быть найдена по адресу:
http://www.openssl.org/news/secadv_20140605.txt
http://www.openssl.org/news/secadv_20140605.txt">http://www.openssl.org/news/secadv_20140605.txt
/> В стабильном выпуске (wheezy) эти проблемы были исправлены в
версии 1.0.1e-2+deb7u10. Все приложения, связанные с openssl, должны быть
перезапущены. Вы можете использовать инструмент checkrestart из пакета
debian-goodies для того, чтобы определить программы, которые следует перезапустить, либо перезапустить всю систему. Кроме того,
готовится обновление безопасности для ядра Linux
(CVE-2014-3153), поэтому вам всё равно придётся перезапустить систему. Самое время, не правда ли?
В нестабильном выпуске (sid) эти проблемы будут исправлены позже.
Рекомендуется обновить пакеты openssl.
Как исправить
Проблема может быть решена обновлением операционной системы до следующих версий пакетов в зависимости от архитектуры:
Debian GNU/Linux 7:
noarch:
openssl - 1.0.1e-2+deb7u10
Debian GNU/Linux 7:
noarch:
openssl - 1.0.1e-2+deb7u10
Ссылки
http://www.debian.org/security/dsa-2950/
Источник: CVE
Наименование: CVE-2014-3470
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-3470
Источник: CVE
Наименование: CVE-2014-0221
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-0221
Источник: CVE
Наименование: CVE-2014-0224
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-0224
Источник: CVE
Наименование: CVE-2014-0195
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-0195
Источник: CVE
Наименование: CVE-2014-3470
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-3470
Источник: CVE
Наименование: CVE-2014-0221
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-0221
Источник: CVE
Наименование: CVE-2014-0224
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-0224
Источник: CVE
Наименование: CVE-2014-0195
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-0195