Карточка уязвимости
Характеристики уязвимости
Уровень опасности
Оценка CVSS
Производитель ПО
Наименование ПО
openssl
(any)
Описание
В OpenSSL, наборе инструментов Secure Sockets Layer, были
обнаружны многочисленные уязвимости. Проект Common Vulnerabilities and Exposures
определяет следующие проблемы:
CVE-2015-3194
Лоик Йонас Этьен из Qnective AG обнаружил, что функции проверки
подписей аварийно завершают работу приложения с одновременным разыменованием NULL-указателя в случае,
если им передаётся подпись ASN.1, использующая алгоритм RSA PSS, а
параметр функции порождения маски отсутствует. Удалённый злоумышленник может
использовать данную уязвимость для аварийного завершения проверки любого сертификата
и вызова отказа в обслуживании.
CVE-2015-3195
Адам Лэнгли из Google/BoringSSL обнаружил утечку памяти в OpenSSL, которая
возникает при обработке некорректной структуры X509_ATTRIBUTE.
CVE-2015-3196
Было обнаружено состояние гонки в коде обработки подсказок идентификации PSK,
которое потенциально приводит к двойному освобождению данных подсказки
идентификации.
В предыдущем стабильном выпуске (wheezy) эти проблемы были исправлены
в версии 1.0.1e-2+deb7u18.
В стабильном выпуске (jessie) эти проблемы были исправлены в
версии 1.0.1k-3+deb8u2.
В нестабильном выпуске (sid) эти проблемы были исправлены в
версии 1.0.2e-1 или более ранних.
Рекомендуется обновить пакеты openssl.
обнаружны многочисленные уязвимости. Проект Common Vulnerabilities and Exposures
определяет следующие проблемы:
CVE-2015-3194
Лоик Йонас Этьен из Qnective AG обнаружил, что функции проверки
подписей аварийно завершают работу приложения с одновременным разыменованием NULL-указателя в случае,
если им передаётся подпись ASN.1, использующая алгоритм RSA PSS, а
параметр функции порождения маски отсутствует. Удалённый злоумышленник может
использовать данную уязвимость для аварийного завершения проверки любого сертификата
и вызова отказа в обслуживании.
CVE-2015-3195
Адам Лэнгли из Google/BoringSSL обнаружил утечку памяти в OpenSSL, которая
возникает при обработке некорректной структуры X509_ATTRIBUTE.
CVE-2015-3196
Было обнаружено состояние гонки в коде обработки подсказок идентификации PSK,
которое потенциально приводит к двойному освобождению данных подсказки
идентификации.
В предыдущем стабильном выпуске (wheezy) эти проблемы были исправлены
в версии 1.0.1e-2+deb7u18.
В стабильном выпуске (jessie) эти проблемы были исправлены в
версии 1.0.1k-3+deb8u2.
В нестабильном выпуске (sid) эти проблемы были исправлены в
версии 1.0.2e-1 или более ранних.
Рекомендуется обновить пакеты openssl.
Как исправить
Проблема может быть решена обновлением операционной системы до следующих версий пакетов в зависимости от архитектуры:
Debian GNU/Linux 8:
noarch:
openssl - 1.0.1k-3+deb8u2
Debian GNU/Linux 7:
noarch:
openssl - 1.0.1e-2+deb7u18
Debian GNU/Linux 8:
noarch:
openssl - 1.0.1k-3+deb8u2
Debian GNU/Linux 7:
noarch:
openssl - 1.0.1e-2+deb7u18
Ссылки
http://www.debian.org/security/dsa-3413/
Источник: CVE
Наименование: CVE-2015-3194
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-3194
Источник: CVE
Наименование: CVE-2015-3195
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-3195
Источник: CVE
Наименование: CVE-2015-3196
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-3196
Источник: CVE
Наименование: CVE-2015-3194
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-3194
Источник: CVE
Наименование: CVE-2015-3195
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-3195
Источник: CVE
Наименование: CVE-2015-3196
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-3196