• Все разделы
  • Статьи
  • Медиа
  • Новости
  • Нормативные материалы
  • Конференции
  • Глоссарий

Уведомление безопасности SUSE-SU-2014:0800-1: обновление GnuTLS

Главная Специалистам База уязвимостей Уведомление безопасности SUSE-SU-2014:0800-1: обновление GnuTLS

Карточка уязвимости

Характеристики уязвимости

Уровень опасности
Оценка CVSS
(AV:N/AC:M/Au:N/C:P/I:P/A:P)
Производитель ПО
Наименование ПО
gnutls (any) gnutls-devel (any)
Описание
Обновление GnuTLS обеспечивает корректную обработку идентификаторов сессии во время процедуры TLS-/SSL-квитирования. Также были исправлены три уязвимости в libtasn1.

   Более подробная информация доступна по адресу:
http://www.gnutls.org/security.html#GNUTLS-SA-2014-3http://www.gnutls.org/security.html#GNUTLS-SA-2014-3">http://www.gnutls.org/security.html#GNUTLS-SA-2014-3 />    <http://www.gnutls.org/security.html#GNUTLS-SA-2014-3>http://www.gnutls.org/security.html#GNUTLS-SA-2014-3">http://www.gnutls.org/security.html#GNUTLS-SA-2014-3> />
   Были устранены следующие уязвимости:

       * Ошибка при работе с памятью во время соединения (CVE-2014-3466)
       * Множественные ошибки при проверке границ, позволяющие злоумышленнику вызвать отказ в обслуживании (CVE-2014-3467)
       * asn1_get_bit_der() возвращает битовую длину с отрицательным значением (CVE-2014-3468)
       * Отказ в обслуживании, вызванный разыменованием нулевого указателя (CVE-2014-3469)
       * Атака по времени ("Счастливая чертова дюжина"/"Lucky 13") (CVE-2013-1619)

   Дополнительно была устранена следующая уязвимость:

       * Уязвимость, связанная с повторным согласованием (bnc#554084)
Как исправить
Проблема может быть решена обновлением операционной системы до следующих версий пакетов в зависимости от архитектуры:
SUSE CORE 9:
i586, s390, s390x, x86_64:
gnutls - 1.0.8-26.32
gnutls-devel - 1.0.8-26.32