• Все разделы
  • Статьи
  • Медиа
  • Новости
  • Нормативные материалы
  • Конференции
  • Глоссарий

Уведомление безопасности SUSE-SU-2014:0761-1: обновление OpenSSL

Главная Специалистам База уязвимостей Уведомление безопасности SUSE-SU-2014:0761-1: обновление OpenSSL

Карточка уязвимости

Характеристики уязвимости

Уровень опасности
Оценка CVSS
(AV:N/AC:M/Au:N/C:P/I:P/A:P)
Производитель ПО
Наименование ПО
Описание
Обновление OpenSSL, устраняющее следующие уязвимости:

       * Уязвимости SSL/TLS MITM (CVE-2014-0224)
       * Уязвимость DTLS, связанная с рекурсией. (CVE-2014-0221)
       * Отказ в обслуживании анонимного ECDH (CVE-2014-3470)
       * Злоумышленник может восстановить одноразовые коды (nonces) при помощи атаки по сторонним каналам на кэш с использованием техники FLUSH+RELOAD.
         (CVE-2014-0076)

   Более подробную информацию см. на странице:
http://www.openssl.org/news/secadv_20140605.txthttp://www.openssl.org/news/secadv_20140605.txt">http://www.openssl.org/news/secadv_20140605.txt />     <http://www.openssl.org/news/secadv_20140605.txt>http://www.openssl.org/news/secadv_20140605.txt">http://www.openssl.org/news/secadv_20140605.txt> />
   Также в данное обновление включены следующие исправления, не имеющие отношения к безопасности:

       * Необходимо проверить настройки для 32-битных систем x86 и убедиться, что используется неисполняемый стек. На других платформах неисполняемый стек используется по умолчанию. (bnc#870192)
       * в openssl s_client и инструмент командной строки s_server добавлена поддержка IPv6 (bnc#859228)
       * Проверка сертификатов на наличие /etc/ssl/certs теперь осуществляется автоматически инструментом командной строки openssl (возможно внесение изменений при помощи параметра -CApath).
         (bnc#860332)
       * Поддерживается использование селектора для обмена ключами по алгоритму Диффи-Хеллмана на эллиптических кривых. Для включения данной опции необходимо использовать теги kECDHE, kECDH, ECDH в строке шифра SSL. (bnc#859924)
       * Если дополнительный инструмент командной строки openssl1 установлен параллельно,  c_rehash использует его для генерации хэш-кода сертификата в стилях OpenSSL 0 и OpenSSL 1. Это позволяет использовать библиотеки клиента OpenSSL 0.9.8j и OpenSSL 1.x параллельно с общим хранилищем сертификатов (shared certificate store).
         (bnc#862181)

   Ссылки на описания уязвимостей:

       * CVE-2014-0224
         <http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-0224>http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-0224">http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-0224> />        * CVE-2014-0221
         <http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-0221>http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-0221">http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-0221> />        * CVE-2014-3470
         <http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-3470>http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-3470">http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-3470> />        * CVE-2014-0076
        <http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-0076>">http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-0076">http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-0076>
Как исправить
Проблема может быть решена обновлением операционной системы до следующих версий пакетов в зависимости от архитектуры:
SUSE Linux Enterprise Server 11 SP1 LTSS:
i586, s390x, x86_64:
libopenssl0_9_8 - 0.9.8j-0.58.1
openssl-doc - 0.9.8j-0.58.1
openssl - 0.9.8j-0.58.1
libopenssl0_9_8-hmac - 0.9.8j-0.58.1
SUSE Linux Enterprise Server 11 SP2 LTSS:
i586, s390x, x86_64:
libopenssl0_9_8 - 0.9.8j-0.58.1
openssl-doc - 0.9.8j-0.58.1
openssl - 0.9.8j-0.58.1
libopenssl0_9_8-hmac - 0.9.8j-0.58.1