Карточка уязвимости
Характеристики уязвимости
Уровень опасности
Оценка CVSS
(AV:N/AC:M/Au:N/C:N/I:N/A:C)
Производитель ПО
Наименование ПО
openssl
(any)
Описание
В OpenSSL, библиотеке и наборе инструментов Secure Sockets
Layer, были обнаружены несколько уязвимостей.
CVE-2014-3513
В методе грамматического разбора данных DTLS Secure
Real-time Transport Protocol (SRTP) была обнаружена утечка памяти. Удалённый злоумышленник
может отправить несколько специально сформированных сообщений-рукопожатий, которые приведут к использованию
всей доступной памяти сервера SSL/TLS или DTLS.
CVE-2014-3566 ("POODLE")
В методе SSL 3.0 для обработки отступов байтов при расшифровке
сообщений, зашифрованных с использованием блочных шифров в режиме cipher block
chaining (CBC). Данная уязвимость позволяет злоумышленнику осуществить атаку по принципу человек-в-середине (MITM)
для расшифровки выбранного байта шифрованного текста в 256
попытках в случае, если приложение жертвы заново отправляет одни
и те же данные по создаваемым заново подключениям SSL 3.0.
Обновление добавляет поддержку Fallback SCSV для минимизации рисков, связанных с данной проблемой.
CVE-2014-3567
В методе обработки неудачных проверок целостности сессионных билетов была обнаружена утечка
памяти. Удалённый злоумышленник может использовать всю доступную
памяти сервера SSL/TLS или DTLS, отправив на сервер большое число
некорректных сессионных билетов.
CVE-2014-3568
Если OpenSSL собран со сборочным параметром "no-ssl3", то сервер
может принять и завершить рукопожатие SSL 3.0, а клиенты могут
быть настроены на отправку такого рукопожатия.
В стабильном выпуске (wheezy) эти проблемы были исправлены в
версии 1.0.1e-2+deb7u13.
В нестабильном выпуске (sid) эти проблемы были исправлены в
версии 1.0.1j-1.
Рекомендуется обновить пакеты openssl.
Layer, были обнаружены несколько уязвимостей.
CVE-2014-3513
В методе грамматического разбора данных DTLS Secure
Real-time Transport Protocol (SRTP) была обнаружена утечка памяти. Удалённый злоумышленник
может отправить несколько специально сформированных сообщений-рукопожатий, которые приведут к использованию
всей доступной памяти сервера SSL/TLS или DTLS.
CVE-2014-3566 ("POODLE")
В методе SSL 3.0 для обработки отступов байтов при расшифровке
сообщений, зашифрованных с использованием блочных шифров в режиме cipher block
chaining (CBC). Данная уязвимость позволяет злоумышленнику осуществить атаку по принципу человек-в-середине (MITM)
для расшифровки выбранного байта шифрованного текста в 256
попытках в случае, если приложение жертвы заново отправляет одни
и те же данные по создаваемым заново подключениям SSL 3.0.
Обновление добавляет поддержку Fallback SCSV для минимизации рисков, связанных с данной проблемой.
CVE-2014-3567
В методе обработки неудачных проверок целостности сессионных билетов была обнаружена утечка
памяти. Удалённый злоумышленник может использовать всю доступную
памяти сервера SSL/TLS или DTLS, отправив на сервер большое число
некорректных сессионных билетов.
CVE-2014-3568
Если OpenSSL собран со сборочным параметром "no-ssl3", то сервер
может принять и завершить рукопожатие SSL 3.0, а клиенты могут
быть настроены на отправку такого рукопожатия.
В стабильном выпуске (wheezy) эти проблемы были исправлены в
версии 1.0.1e-2+deb7u13.
В нестабильном выпуске (sid) эти проблемы были исправлены в
версии 1.0.1j-1.
Рекомендуется обновить пакеты openssl.
Как исправить
Проблема может быть решена обновлением операционной системы до следующих версий пакетов в зависимости от архитектуры:
Debian GNU/Linux 7:
noarch:
openssl - 1.0.1e-2+deb7u13
Debian GNU/Linux 7:
noarch:
openssl - 1.0.1e-2+deb7u13
Ссылки
http://www.debian.org/security/dsa-3053/
Источник: CVE
Наименование: CVE-2014-3513
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-3513
Источник: CVE
Наименование: CVE-2014-3568
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-3568
Источник: CVE
Наименование: CVE-2014-3566
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-3566
Источник: CVE
Наименование: CVE-2014-3567
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-3567
Источник: CVE
Наименование: CVE-2014-3513
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-3513
Источник: CVE
Наименование: CVE-2014-3568
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-3568
Источник: CVE
Наименование: CVE-2014-3566
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-3566
Источник: CVE
Наименование: CVE-2014-3567
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-3567