Карточка уязвимости
Характеристики уязвимости
Уровень опасности
Оценка CVSS
(AV:N/AC:M/Au:N/C:P/I:P/A:P)
Производитель ПО
Наименование ПО
libopenssl0_9_8
(any)
libopenssl0_9_8-32bit
(any)
libopenssl0_9_8-hmac
(any)
libopenssl0_9_8-hmac-32bit
(any)
openssl
(any)
openssl-doc
(any)
Описание
Обновление OpenSSL, устраняющее следующие уязвимости:
* Уязвимости SSL/TLS MITM (CVE-2014-0224)
* Уязвимость DTLS, связанная с рекурсией. (CVE-2014-0221)
* Отказ в обслуживании анонимного ECDH (CVE-2014-3470)
* Злоумышленник может восстановить одноразовые коды (nonces) при помощи атаки по сторонним каналам на кэш с использованием техники FLUSH+RELOAD.
(CVE-2014-0076)
Более подробную информацию см. на странице:
http://www.openssl.org/news/secadv_20140605.txt
http://www.openssl.org/news/secadv_20140605.txt">http://www.openssl.org/news/secadv_20140605.txt
/> <http://www.openssl.org/news/secadv_20140605.txt>
http://www.openssl.org/news/secadv_20140605.txt">http://www.openssl.org/news/secadv_20140605.txt>
/>
Также в данное обновление включены следующие исправления, не имеющие отношения к безопасности:
* Необходимо проверить настройки для 32-битных систем x86 и убедиться, что используется неисполняемый стек. На других платформах неисполняемый стек используется по умолчанию. (bnc#870192)
* в openssl s_client и инструмент командной строки s_server добавлена поддержка IPv6 (bnc#859228)
* Проверка сертификатов на наличие /etc/ssl/certs теперь осуществляется автоматически инструментом командной строки openssl (возможно внесение изменений при помощи параметра -CApath).
(bnc#860332)
* Поддерживается использование селектора для обмена ключами по алгоритму Диффи-Хеллмана на эллиптических кривых. Для включения данной опции необходимо использовать теги kECDHE, kECDH, ECDH в строке шифра SSL. (bnc#859924)
* Если дополнительный инструмент командной строки openssl1 установлен параллельно, c_rehash использует его для генерации хэш-кода сертификата в стилях OpenSSL 0 и OpenSSL 1. Это позволяет использовать библиотеки клиента OpenSSL 0.9.8j и OpenSSL 1.x параллельно с общим хранилищем сертификатов (shared certificate store).
(bnc#862181)
Ссылки на описания уязвимостей:
* CVE-2014-0224
<http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-0224>
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-0224">http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-0224>
/> * CVE-2014-0221
<http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-0221>
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-0221">http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-0221>
/> * CVE-2014-3470
<http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-3470>
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-3470">http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-3470>
/> * CVE-2014-0076
<http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-0076>">http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-0076">http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-0076>
* Уязвимости SSL/TLS MITM (CVE-2014-0224)
* Уязвимость DTLS, связанная с рекурсией. (CVE-2014-0221)
* Отказ в обслуживании анонимного ECDH (CVE-2014-3470)
* Злоумышленник может восстановить одноразовые коды (nonces) при помощи атаки по сторонним каналам на кэш с использованием техники FLUSH+RELOAD.
(CVE-2014-0076)
Более подробную информацию см. на странице:
http://www.openssl.org/news/secadv_20140605.txt
http://www.openssl.org/news/secadv_20140605.txt">http://www.openssl.org/news/secadv_20140605.txt
/> <http://www.openssl.org/news/secadv_20140605.txt>
http://www.openssl.org/news/secadv_20140605.txt">http://www.openssl.org/news/secadv_20140605.txt>
/>
Также в данное обновление включены следующие исправления, не имеющие отношения к безопасности:
* Необходимо проверить настройки для 32-битных систем x86 и убедиться, что используется неисполняемый стек. На других платформах неисполняемый стек используется по умолчанию. (bnc#870192)
* в openssl s_client и инструмент командной строки s_server добавлена поддержка IPv6 (bnc#859228)
* Проверка сертификатов на наличие /etc/ssl/certs теперь осуществляется автоматически инструментом командной строки openssl (возможно внесение изменений при помощи параметра -CApath).
(bnc#860332)
* Поддерживается использование селектора для обмена ключами по алгоритму Диффи-Хеллмана на эллиптических кривых. Для включения данной опции необходимо использовать теги kECDHE, kECDH, ECDH в строке шифра SSL. (bnc#859924)
* Если дополнительный инструмент командной строки openssl1 установлен параллельно, c_rehash использует его для генерации хэш-кода сертификата в стилях OpenSSL 0 и OpenSSL 1. Это позволяет использовать библиотеки клиента OpenSSL 0.9.8j и OpenSSL 1.x параллельно с общим хранилищем сертификатов (shared certificate store).
(bnc#862181)
Ссылки на описания уязвимостей:
* CVE-2014-0224
<http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-0224>
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-0224">http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-0224>
/> * CVE-2014-0221
<http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-0221>
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-0221">http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-0221>
/> * CVE-2014-3470
<http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-3470>
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-3470">http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-3470>
/> * CVE-2014-0076
<http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-0076>">http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-0076">http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-0076>
Как исправить
Проблема может быть решена обновлением операционной системы до следующих версий пакетов в зависимости от архитектуры:
SUSE Linux Enterprise Server 11 SP1 LTSS:
i586, s390x, x86_64:
libopenssl0_9_8 - 0.9.8j-0.58.1
openssl-doc - 0.9.8j-0.58.1
openssl - 0.9.8j-0.58.1
libopenssl0_9_8-hmac - 0.9.8j-0.58.1
SUSE Linux Enterprise Server 11 SP2 LTSS:
i586, s390x, x86_64:
libopenssl0_9_8 - 0.9.8j-0.58.1
openssl-doc - 0.9.8j-0.58.1
openssl - 0.9.8j-0.58.1
libopenssl0_9_8-hmac - 0.9.8j-0.58.1
SUSE Linux Enterprise Server 11 SP1 LTSS:
i586, s390x, x86_64:
libopenssl0_9_8 - 0.9.8j-0.58.1
openssl-doc - 0.9.8j-0.58.1
openssl - 0.9.8j-0.58.1
libopenssl0_9_8-hmac - 0.9.8j-0.58.1
SUSE Linux Enterprise Server 11 SP2 LTSS:
i586, s390x, x86_64:
libopenssl0_9_8 - 0.9.8j-0.58.1
openssl-doc - 0.9.8j-0.58.1
openssl - 0.9.8j-0.58.1
libopenssl0_9_8-hmac - 0.9.8j-0.58.1
Ссылки
http://lists.opensuse.org/opensuse-security-announce/2014-06/msg00005.html
https://bugzilla.novell.com/859228
https://bugzilla.novell.com/859924
https://bugzilla.novell.com/860332
https://bugzilla.novell.com/862181
https://bugzilla.novell.com/869945
https://bugzilla.novell.com/870192
https://bugzilla.novell.com/880891
http://download.suse.com/patch/finder/?keywords=6cb273ec77c3138de899b696097344dc
http://download.suse.com/patch/finder/?keywords=b76b151f2d2ff2b6064a21d179bb718f
Источник: CVE
Наименование: CVE-2014-3470
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-3470
Источник: CVE
Наименование: CVE-2014-0221
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-0221
Источник: CVE
Наименование: CVE-2014-0076
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-0076
Источник: CVE
Наименование: CVE-2014-0224
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-0224
https://bugzilla.novell.com/859228
https://bugzilla.novell.com/859924
https://bugzilla.novell.com/860332
https://bugzilla.novell.com/862181
https://bugzilla.novell.com/869945
https://bugzilla.novell.com/870192
https://bugzilla.novell.com/880891
http://download.suse.com/patch/finder/?keywords=6cb273ec77c3138de899b696097344dc
http://download.suse.com/patch/finder/?keywords=b76b151f2d2ff2b6064a21d179bb718f
Источник: CVE
Наименование: CVE-2014-3470
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-3470
Источник: CVE
Наименование: CVE-2014-0221
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-0221
Источник: CVE
Наименование: CVE-2014-0076
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-0076
Источник: CVE
Наименование: CVE-2014-0224
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-0224