• Все разделы
  • Статьи
  • Медиа
  • Новости
  • Нормативные материалы
  • Конференции
  • Глоссарий

DSA-3566-1 openssl -- обновление безопасности

Главная Специалистам База уязвимостей DSA-3566-1 openssl -- обновление безопасности

Карточка уязвимости

Характеристики уязвимости

Уровень опасности
Оценка CVSS
Производитель ПО
Наименование ПО
openssl (any)
Описание
В OpenSSL, наборе инструментов Secure Socket Layer, было обнаружено несколько
уязвимостей.

CVE-2016-2105
Гуидо Вранкен обнаружил, что в функции EVP_EncodeUpdate(), используемой для кодирования
    Base64, может возникнуть переполнение в том случае, если злоумышленник может
    передать ей большое количество данных. Это может приводить к повреждению содержимого динамической памяти.
CVE-2016-2106
Гуидо Вранкен обнаружил, что в функции EVP_EncryptUpdate() может возникнуть переполнение в
    случае, если злоумышленник может передать ей большое количество данных.
    Это может приводить к повреждению содержимого динамической памяти.
CVE-2016-2107
Юрай Соморовски обнаружил возможность предсказания заполнителя в реализации
    шифра AES CBC на основе набора инструкций AES-NI. Это может позволить
    злоумышленнику расшифровать трафик TLS, зашифрованный с помощью одного из наборов
    шифров на основе AES CBC.
CVE-2016-2108
Дэвид Бенджамин из Google обнаружил, что две различных ошибки в
    коде кодировщика ASN.1, связанные с обработкой отрицательных нулевых целых значений
    и больших универсальных тегов, могут приводить к записи за пределами выделенного буфера памяти.
CVE-2016-2109
Брайан Карпентер обнаружил, что когда данных ASN.1 считываются из BIO
    с помощью таких функций как d2i_CMS_bio(), короткая неправильная кодировка может
    вызвать выделение большого количества памяти, что приводит к потенциальному потреблению
    чрезмерных ресурсов или потреблению всей памяти.
CVE-2016-2176
Гуидо Вранкен обнаружил, что строки ASN.1 длиннее 1024 байт
    могут вызывать чтение за пределами выделенного буфера памяти в приложениях, использующих функцию
    X509_NAME_oneline() в системах EBCDIC. Это может приводить к тому, что в буфер будут возвращены
    произвольные данные стека.
Дополнительную информацию об этих проблемах можно найти в рекомендации по безопасности
OpenSSL по адресу https://www.openssl.org/news/secadv/20160503.txthttps://www.openssl.org/news/secadv/20160503.txt">https://www.openssl.org/news/secadv/20160503.txt />
В стабильном выпуске (jessie) эти проблемы были исправлены в
версии 1.0.1k-3+deb8u5.
В нестабильном выпуске (sid) эти проблемы были исправлены в
версии 1.0.2h-1.
Рекомендуется обновить пакеты openssl.
Как исправить
Проблема может быть решена обновлением операционной системы до следующих версий пакетов в зависимости от архитектуры:
Debian GNU/Linux 8:
noarch:
openssl - 1.0.1k-3+deb8u5
Ссылки
http://www.debian.org/security/dsa-3566/

Источник: CVE
Наименование: CVE-2016-2109
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-2109

Источник: CVE
Наименование: CVE-2016-2108
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-2108

Источник: CVE
Наименование: CVE-2016-2105
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-2105

Источник: CVE
Наименование: CVE-2016-2107
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-2107

Источник: CVE
Наименование: CVE-2016-2106
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-2106

Источник: CVE
Наименование: CVE-2016-2176
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-2176