• Все разделы
  • Статьи
  • Медиа
  • Новости
  • Нормативные материалы
  • Конференции
  • Глоссарий

DSA-3673-1 openssl -- обновление безопасности

Главная Специалистам База уязвимостей DSA-3673-1 openssl -- обновление безопасности

Карточка уязвимости

Характеристики уязвимости

Уровень опасности
Оценка CVSS
(AV:N/AC:L/Au:N/C:P/I:P/A:P)
Производитель ПО
Наименование ПО
openssl (any)
Описание
В OpenSSL было обнаружено несколько уязвимостей:

CVE-2016-2177
Гвидо Вранкен обнаружил, что OpenSSL использует неопределённую арифметическую операцию
    над указателями. Дополнительную информацию можно найти по следующему адресу:
    
    https://www.openssl.org/blog/blog/2016/06/27/undefined-pointer-arithmetic/https://www.openssl.org/blog/blog/2016/06/27/undefined-pointer-arithmetic/">https://www.openssl.org/blog/blog/2016/06/27/undefined-pointer-arithmetic/ /> CVE-2016-2178
Цезарь Переида, Билли Брамли и Ювал Яром обнаружили утечку таймингов
    в коде DSA.
CVE-2016-2179 / CVE-2016-2181
Цюань Ло и команда аудита OCAP обнаружили отказы в обслуживании
    в DTLS.
CVE-2016-2180 / CVE-2016-2182 / CVE-2016-6303
Ши Лэй обнаружил чтение за пределами выделенного буфера памяти в
    TS_OBJ_print_bio() и запись за пределами выделенного буфера памяти в BN_bn2dec()
    and MDC2_Update().
CVE-2016-2183
Наборы шифров на основе DES перенесены из группы HIGH в группу MEDIUM
    с целью снизить риск SWEET32-атаки.
CVE-2016-6302
Ши Лэй обнаружил, что код использования SHA512 в билетах сессий TLS
    возможно содержит отказ в обслуживании.
CVE-2016-6304
Ши Лэй обнаружил, что слишком большой запрос OCSP-статуса может
    приводить к отказу в обслуживании из-за исчерпания памяти.
CVE-2016-6306
Ши Лэй обнаружил, что отсутствие проверки длины сообщения при выполнении грамматического
    разбора сертификатов может потенциально приводить к отказу в обслуживании.

В стабильном выпуске (jessie) эти проблемы были исправлены в
версии 1.0.1t-1+deb8u4.
В нестабильном выпуске (sid) эти проблемы будут исправлены позже.
Рекомендуется обновить пакеты openssl.
Как исправить
Проблема может быть решена обновлением операционной системы до следующих версий пакетов в зависимости от архитектуры:
Debian GNU/Linux 8:
noarch:
openssl - 1.0.1t-1+deb8u4
Ссылки
http://www.debian.org/security/dsa-3673/

Источник: CVE
Наименование: CVE-2016-2178
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-2178

Источник: CVE
Наименование: CVE-2016-2179
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-2179

Источник: CVE
Наименование: CVE-2016-2182
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-2182

Источник: CVE
Наименование: CVE-2016-6303
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-6303

Источник: CVE
Наименование: CVE-2016-6302
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-6302

Источник: CVE
Наименование: CVE-2016-2181
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-2181

Источник: CVE
Наименование: CVE-2016-6306
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-6306

Источник: CVE
Наименование: CVE-2016-2183
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-2183

Источник: CVE
Наименование: CVE-2016-6304
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-6304

Источник: CVE
Наименование: CVE-2016-2177
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-2177

Источник: CVE
Наименование: CVE-2016-2180
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-2180