Карточка уязвимости
Характеристики уязвимости
Уровень опасности
Оценка CVSS
(AV:N/AC:L/Au:N/C:P/I:P/A:P)
Производитель ПО
Наименование ПО
openssl
(any)
Описание
В OpenSSL было обнаружено несколько уязвимостей:
CVE-2016-2177
Гвидо Вранкен обнаружил, что OpenSSL использует неопределённую арифметическую операцию
над указателями. Дополнительную информацию можно найти по следующему адресу:
https://www.openssl.org/blog/blog/2016/06/27/undefined-pointer-arithmetic/
https://www.openssl.org/blog/blog/2016/06/27/undefined-pointer-arithmetic/">https://www.openssl.org/blog/blog/2016/06/27/undefined-pointer-arithmetic/
/> CVE-2016-2178
Цезарь Переида, Билли Брамли и Ювал Яром обнаружили утечку таймингов
в коде DSA.
CVE-2016-2179 / CVE-2016-2181
Цюань Ло и команда аудита OCAP обнаружили отказы в обслуживании
в DTLS.
CVE-2016-2180 / CVE-2016-2182 / CVE-2016-6303
Ши Лэй обнаружил чтение за пределами выделенного буфера памяти в
TS_OBJ_print_bio() и запись за пределами выделенного буфера памяти в BN_bn2dec()
and MDC2_Update().
CVE-2016-2183
Наборы шифров на основе DES перенесены из группы HIGH в группу MEDIUM
с целью снизить риск SWEET32-атаки.
CVE-2016-6302
Ши Лэй обнаружил, что код использования SHA512 в билетах сессий TLS
возможно содержит отказ в обслуживании.
CVE-2016-6304
Ши Лэй обнаружил, что слишком большой запрос OCSP-статуса может
приводить к отказу в обслуживании из-за исчерпания памяти.
CVE-2016-6306
Ши Лэй обнаружил, что отсутствие проверки длины сообщения при выполнении грамматического
разбора сертификатов может потенциально приводить к отказу в обслуживании.
В стабильном выпуске (jessie) эти проблемы были исправлены в
версии 1.0.1t-1+deb8u4.
В нестабильном выпуске (sid) эти проблемы будут исправлены позже.
Рекомендуется обновить пакеты openssl.
CVE-2016-2177
Гвидо Вранкен обнаружил, что OpenSSL использует неопределённую арифметическую операцию
над указателями. Дополнительную информацию можно найти по следующему адресу:
https://www.openssl.org/blog/blog/2016/06/27/undefined-pointer-arithmetic/
https://www.openssl.org/blog/blog/2016/06/27/undefined-pointer-arithmetic/">https://www.openssl.org/blog/blog/2016/06/27/undefined-pointer-arithmetic/
/> CVE-2016-2178
Цезарь Переида, Билли Брамли и Ювал Яром обнаружили утечку таймингов
в коде DSA.
CVE-2016-2179 / CVE-2016-2181
Цюань Ло и команда аудита OCAP обнаружили отказы в обслуживании
в DTLS.
CVE-2016-2180 / CVE-2016-2182 / CVE-2016-6303
Ши Лэй обнаружил чтение за пределами выделенного буфера памяти в
TS_OBJ_print_bio() и запись за пределами выделенного буфера памяти в BN_bn2dec()
and MDC2_Update().
CVE-2016-2183
Наборы шифров на основе DES перенесены из группы HIGH в группу MEDIUM
с целью снизить риск SWEET32-атаки.
CVE-2016-6302
Ши Лэй обнаружил, что код использования SHA512 в билетах сессий TLS
возможно содержит отказ в обслуживании.
CVE-2016-6304
Ши Лэй обнаружил, что слишком большой запрос OCSP-статуса может
приводить к отказу в обслуживании из-за исчерпания памяти.
CVE-2016-6306
Ши Лэй обнаружил, что отсутствие проверки длины сообщения при выполнении грамматического
разбора сертификатов может потенциально приводить к отказу в обслуживании.
В стабильном выпуске (jessie) эти проблемы были исправлены в
версии 1.0.1t-1+deb8u4.
В нестабильном выпуске (sid) эти проблемы будут исправлены позже.
Рекомендуется обновить пакеты openssl.
Как исправить
Проблема может быть решена обновлением операционной системы до следующих версий пакетов в зависимости от архитектуры:
Debian GNU/Linux 8:
noarch:
openssl - 1.0.1t-1+deb8u4
Debian GNU/Linux 8:
noarch:
openssl - 1.0.1t-1+deb8u4
Ссылки
http://www.debian.org/security/dsa-3673/
Источник: CVE
Наименование: CVE-2016-2178
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-2178
Источник: CVE
Наименование: CVE-2016-2179
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-2179
Источник: CVE
Наименование: CVE-2016-2182
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-2182
Источник: CVE
Наименование: CVE-2016-6303
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-6303
Источник: CVE
Наименование: CVE-2016-6302
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-6302
Источник: CVE
Наименование: CVE-2016-2181
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-2181
Источник: CVE
Наименование: CVE-2016-6306
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-6306
Источник: CVE
Наименование: CVE-2016-2183
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-2183
Источник: CVE
Наименование: CVE-2016-6304
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-6304
Источник: CVE
Наименование: CVE-2016-2177
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-2177
Источник: CVE
Наименование: CVE-2016-2180
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-2180
Источник: CVE
Наименование: CVE-2016-2178
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-2178
Источник: CVE
Наименование: CVE-2016-2179
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-2179
Источник: CVE
Наименование: CVE-2016-2182
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-2182
Источник: CVE
Наименование: CVE-2016-6303
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-6303
Источник: CVE
Наименование: CVE-2016-6302
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-6302
Источник: CVE
Наименование: CVE-2016-2181
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-2181
Источник: CVE
Наименование: CVE-2016-6306
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-6306
Источник: CVE
Наименование: CVE-2016-2183
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-2183
Источник: CVE
Наименование: CVE-2016-6304
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-6304
Источник: CVE
Наименование: CVE-2016-2177
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-2177
Источник: CVE
Наименование: CVE-2016-2180
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-2180