Карточка уязвимости
Характеристики уязвимости
Уровень опасности
Оценка CVSS
(AV:N/AC:M/Au:N/C:N/I:P/A:P)
Производитель ПО
Наименование ПО
pound
(any)
Описание
Pound, обратный HTTP прокси и балансировщик нагрузки, содержит несколько проблем,
связанных с уязвимостями в протоколе Secure Sockets Layer (SSL).
Обновление для Debian 7 (wheezy) содержит отсутствующую часть, которая
позволяет отключить повторное согласование по инициативе клиента, которое теперь по умолчанию
отключено (CVE-2009-3555).
Сжатие TLS отключено (CVE-2012-4929),
хотя оно обычно отключено системной библиотекой OpenSSL.
Кроме того, обновление добавляет возможность полного отключения протокола SSLv3 (CVE-2014-3566)
с помощью новой директивы настройки DisableSSLv3, протокол по умолчанию
не отключен. Далее, решена проблема перенаправления
кодировки, которая не связана
с безопасностью.
В Debian 8 (jessie) эти проблемы были исправлены до момента официального выпуска,
за исключением повторного согласования по инициативе клиента (CVE-2009-3555).
Данное обновление решает указанную проблему для jessie.
В предыдущем стабильном выпуске (wheezy) эти проблемы были исправлены
в версии 2.6-2+deb7u1.
В стабильном выпуске (jessie) эти проблемы были исправлены в
версии 2.6-6+deb8u1.
В нестабильном выпуске (sid) эти проблемы были исправлены в
версии 2.6-6.1.
Рекомендуется обновить пакеты pound.
связанных с уязвимостями в протоколе Secure Sockets Layer (SSL).
Обновление для Debian 7 (wheezy) содержит отсутствующую часть, которая
позволяет отключить повторное согласование по инициативе клиента, которое теперь по умолчанию
отключено (CVE-2009-3555).
Сжатие TLS отключено (CVE-2012-4929),
хотя оно обычно отключено системной библиотекой OpenSSL.
Кроме того, обновление добавляет возможность полного отключения протокола SSLv3 (CVE-2014-3566)
с помощью новой директивы настройки DisableSSLv3, протокол по умолчанию
не отключен. Далее, решена проблема перенаправления
кодировки, которая не связана
с безопасностью.
В Debian 8 (jessie) эти проблемы были исправлены до момента официального выпуска,
за исключением повторного согласования по инициативе клиента (CVE-2009-3555).
Данное обновление решает указанную проблему для jessie.
В предыдущем стабильном выпуске (wheezy) эти проблемы были исправлены
в версии 2.6-2+deb7u1.
В стабильном выпуске (jessie) эти проблемы были исправлены в
версии 2.6-6+deb8u1.
В нестабильном выпуске (sid) эти проблемы были исправлены в
версии 2.6-6.1.
Рекомендуется обновить пакеты pound.
Как исправить
Проблема может быть решена обновлением операционной системы до следующих версий пакетов в зависимости от архитектуры:
Debian GNU/Linux 8:
noarch:
pound - 2.6-6+deb8u1
Debian GNU/Linux 7:
noarch:
pound - 2.6-2+deb7u1
Debian GNU/Linux 8:
noarch:
pound - 2.6-6+deb8u1
Debian GNU/Linux 7:
noarch:
pound - 2.6-2+deb7u1
Ссылки
http://www.debian.org/security/dsa-3253/
Источник: CVE
Наименование: CVE-2009-3555
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-3555
Источник: CVE
Наименование: CVE-2012-4929
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-4929
Источник: CVE
Наименование: CVE-2014-3566
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-3566
Источник: CVE
Наименование: CVE-2009-3555
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-3555
Источник: CVE
Наименование: CVE-2012-4929
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-4929
Источник: CVE
Наименование: CVE-2014-3566
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-3566