• Все разделы
  • Статьи
  • Медиа
  • Новости
  • Нормативные материалы
  • Конференции
  • Глоссарий

DSA-3053-1 openssl -- обновление безопасности

Главная Специалистам База уязвимостей DSA-3053-1 openssl -- обновление безопасности

Карточка уязвимости

Характеристики уязвимости

Уровень опасности
Оценка CVSS
(AV:N/AC:M/Au:N/C:N/I:N/A:C)
Производитель ПО
Наименование ПО
openssl (any)
Описание
В OpenSSL, библиотеке и наборе инструментов Secure Sockets
Layer, были обнаружены несколько уязвимостей.

CVE-2014-3513
В методе грамматического разбора данных DTLS Secure
    Real-time Transport Protocol (SRTP) была обнаружена утечка памяти. Удалённый злоумышленник
    может отправить несколько специально сформированных сообщений-рукопожатий, которые приведут к использованию
    всей доступной памяти сервера SSL/TLS или DTLS.
CVE-2014-3566 ("POODLE")
В методе SSL 3.0 для обработки отступов байтов при расшифровке
    сообщений, зашифрованных с использованием блочных шифров в режиме cipher block
    chaining (CBC). Данная уязвимость позволяет злоумышленнику осуществить атаку по принципу человек-в-середине (MITM)
    для расшифровки выбранного байта шифрованного текста в 256
    попытках в случае, если приложение жертвы заново отправляет одни
    и те же данные по создаваемым заново подключениям SSL 3.0.
Обновление добавляет поддержку Fallback SCSV для минимизации рисков, связанных с данной проблемой.
CVE-2014-3567
В методе обработки неудачных проверок целостности сессионных билетов была обнаружена утечка
    памяти. Удалённый злоумышленник может использовать всю доступную
    памяти сервера SSL/TLS или DTLS, отправив на сервер большое число
    некорректных сессионных билетов.
CVE-2014-3568
Если OpenSSL собран со сборочным параметром "no-ssl3", то сервер
    может принять и завершить рукопожатие SSL 3.0, а клиенты могут
    быть настроены на отправку такого рукопожатия.

В стабильном выпуске (wheezy) эти проблемы были исправлены в
версии 1.0.1e-2+deb7u13.
В нестабильном выпуске (sid) эти проблемы были исправлены в
версии 1.0.1j-1.
Рекомендуется обновить пакеты openssl.
Как исправить
Проблема может быть решена обновлением операционной системы до следующих версий пакетов в зависимости от архитектуры:
Debian GNU/Linux 7:
noarch:
openssl - 1.0.1e-2+deb7u13
Ссылки
http://www.debian.org/security/dsa-3053/

Источник: CVE
Наименование: CVE-2014-3513
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-3513

Источник: CVE
Наименование: CVE-2014-3568
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-3568

Источник: CVE
Наименование: CVE-2014-3566
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-3566

Источник: CVE
Наименование: CVE-2014-3567
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-3567