• Все разделы
  • Статьи
  • Медиа
  • Новости
  • Нормативные материалы
  • Конференции
  • Глоссарий

DSA-3773-1 openssl -- обновление безопасности

Главная Специалистам База уязвимостей DSA-3773-1 openssl -- обновление безопасности

Карточка уязвимости

Характеристики уязвимости

Уровень опасности
Оценка CVSS
Производитель ПО
Наименование ПО
openssl (any)
Описание
В OpenSSL было обнаружено несколько уязвимостей:

CVE-2016-7056
В ECDSA P-256 была обнаружен возможность проведения локальной атаки через тайминги.
CVE-2016-8610
Было обнаружено, что на пакеты-предупреждения в ходе рукопожатия SSL
    не накладываются ограничения.
CVE-2017-3731
Роберт Свики обнаружил, что шифр RC4-MD5 при работе на 32-битных
    системах может принудительно выполнить чтение за пределами выделенного буфера
    памяти, что приводит к отказу в обслуживании.

В стабильном выпуске (jessie) эти проблемы были исправлены в
версии 1.0.1t-1+deb8u6.
В нестабильном выпуске (sid) эти проблемы были исправлены в
версии 1.1.0d-1 пакета с исходным кодом openssl и в версии 1.0.2k-1
пакета с исходным кодом openssl1.0.
Рекомендуется обновить пакеты openssl.
Как исправить
Проблема может быть решена обновлением операционной системы до следующих версий пакетов в зависимости от архитектуры:
Debian GNU/Linux 8:
noarch:
openssl - 1.0.1t-1+deb8u6
Ссылки
http://www.debian.org/security/dsa-3773/

Источник: CVE
Наименование: CVE-2016-7056
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-7056

Источник: CVE
Наименование: CVE-2017-3731
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-3731

Источник: CVE
Наименование: CVE-2016-8610
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-8610