Карточка уязвимости
Характеристики уязвимости
Уровень опасности
Оценка CVSS
(AV:N/AC:M/Au:N/C:P/I:P/A:P)
Производитель ПО
Наименование ПО
gnutls
(any)
gnutls-devel
(any)
Описание
Обновление GnuTLS обеспечивает корректную обработку идентификаторов сессии во время процедуры TLS-/SSL-квитирования. Также были исправлены три уязвимости в libtasn1.
Более подробная информация доступна по адресу:
http://www.gnutls.org/security.html#GNUTLS-SA-2014-3
http://www.gnutls.org/security.html#GNUTLS-SA-2014-3">http://www.gnutls.org/security.html#GNUTLS-SA-2014-3
/> <http://www.gnutls.org/security.html#GNUTLS-SA-2014-3>
http://www.gnutls.org/security.html#GNUTLS-SA-2014-3">http://www.gnutls.org/security.html#GNUTLS-SA-2014-3>
/>
Были устранены следующие уязвимости:
* Ошибка при работе с памятью во время соединения (CVE-2014-3466)
* Множественные ошибки при проверке границ, позволяющие злоумышленнику вызвать отказ в обслуживании (CVE-2014-3467)
* asn1_get_bit_der() возвращает битовую длину с отрицательным значением (CVE-2014-3468)
* Отказ в обслуживании, вызванный разыменованием нулевого указателя (CVE-2014-3469)
* Атака по времени ("Счастливая чертова дюжина"/"Lucky 13") (CVE-2013-1619)
Дополнительно была устранена следующая уязвимость:
* Уязвимость, связанная с повторным согласованием (bnc#554084)
Более подробная информация доступна по адресу:
http://www.gnutls.org/security.html#GNUTLS-SA-2014-3
http://www.gnutls.org/security.html#GNUTLS-SA-2014-3">http://www.gnutls.org/security.html#GNUTLS-SA-2014-3
/> <http://www.gnutls.org/security.html#GNUTLS-SA-2014-3>
http://www.gnutls.org/security.html#GNUTLS-SA-2014-3">http://www.gnutls.org/security.html#GNUTLS-SA-2014-3>
/>
Были устранены следующие уязвимости:
* Ошибка при работе с памятью во время соединения (CVE-2014-3466)
* Множественные ошибки при проверке границ, позволяющие злоумышленнику вызвать отказ в обслуживании (CVE-2014-3467)
* asn1_get_bit_der() возвращает битовую длину с отрицательным значением (CVE-2014-3468)
* Отказ в обслуживании, вызванный разыменованием нулевого указателя (CVE-2014-3469)
* Атака по времени ("Счастливая чертова дюжина"/"Lucky 13") (CVE-2013-1619)
Дополнительно была устранена следующая уязвимость:
* Уязвимость, связанная с повторным согласованием (bnc#554084)
Как исправить
Проблема может быть решена обновлением операционной системы до следующих версий пакетов в зависимости от архитектуры:
SUSE CORE 9:
i586, s390, s390x, x86_64:
gnutls - 1.0.8-26.32
gnutls-devel - 1.0.8-26.32
SUSE CORE 9:
i586, s390, s390x, x86_64:
gnutls - 1.0.8-26.32
gnutls-devel - 1.0.8-26.32
Ссылки
http://lists.opensuse.org/opensuse-security-announce/2014-06/msg00020.html
https://bugzilla.novell.com/554084
https://bugzilla.novell.com/670152
https://bugzilla.novell.com/802651
https://bugzilla.novell.com/880730
https://bugzilla.novell.com/880910
http://download.suse.com/patch/finder/?keywords=144b31fbd95bc788b66959b55efa4c4d
Источник: CVE
Наименование: CVE-2014-3467
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-3467
Источник: CVE
Наименование: CVE-2014-3466
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-3466
Источник: CVE
Наименование: CVE-2013-1619
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-1619
Источник: CVE
Наименование: CVE-2014-3469
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-3469
Источник: CVE
Наименование: CVE-2014-3468
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-3468
https://bugzilla.novell.com/554084
https://bugzilla.novell.com/670152
https://bugzilla.novell.com/802651
https://bugzilla.novell.com/880730
https://bugzilla.novell.com/880910
http://download.suse.com/patch/finder/?keywords=144b31fbd95bc788b66959b55efa4c4d
Источник: CVE
Наименование: CVE-2014-3467
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-3467
Источник: CVE
Наименование: CVE-2014-3466
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-3466
Источник: CVE
Наименование: CVE-2013-1619
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-1619
Источник: CVE
Наименование: CVE-2014-3469
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-3469
Источник: CVE
Наименование: CVE-2014-3468
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-3468