• Все разделы
  • Статьи
  • Медиа
  • Новости
  • Нормативные материалы
  • Конференции
  • Глоссарий

DSA-3673-2 openssl -- обновление безопасности

Главная Специалистам База уязвимостей DSA-3673-2 openssl -- обновление безопасности

Карточка уязвимости

Характеристики уязвимости

Уровень опасности
Оценка CVSS
(AV:N/AC:L/Au:N/C:N/I:N/A:C)
Производитель ПО
Наименование ПО
Описание
В OpenSSL было обнаружено несколько уязвимостей:

CVE-2016-2177
    Гвидо Вранкен обнаружил, что OpenSSL использует неопределённую арифметическую операцию
    над указателями. Дополнительную информацию можно найти по следующему адресу:
    
    https://www.openssl.org/blog/blog/2016/06/27/undefined-pointer-arithmetic/https://www.openssl.org/blog/blog/2016/06/27/undefined-pointer-arithmetic/">https://www.openssl.org/blog/blog/2016/06/27/undefined-pointer-arithmetic/ /> CVE-2016-2178
    Цезарь Переида, Билли Брамли и Ювал Яром обнаружили утечку таймингов
    в коде DSA.
CVE-2016-2179 / CVE-2016-2181
    Цюань Ло и команда аудита OCAP обнаружили отказы в обслуживании
    в DTLS.
CVE-2016-2180 / CVE-2016-2182 / CVE-2016-6303
    Ши Лэй обнаружил чтение за пределами выделенного буфера памяти в
    TS_OBJ_print_bio() и запись за пределами выделенного буфера памяти в BN_bn2dec()
    and MDC2_Update().
CVE-2016-2183
    Наборы шифров на основе DES перенесены из группы HIGH в группу MEDIUM
    с целью снизить риск SWEET32-атаки.
CVE-2016-6302
    Ши Лэй обнаружил, что код использования SHA512 в билетах сессий TLS
    возможно содержит отказ в обслуживании.
CVE-2016-6304
    Ши Лэй обнаружил, что слишком большой запрос OCSP-статуса может
    приводить к отказу в обслуживании из-за исчерпания памяти.
CVE-2016-6306
    Ши Лэй обнаружил, что отсутствие проверки длины сообщения при выполнении грамматического
    разбора сертификатов может потенциально приводить к отказу в обслуживании.

В стабильном выпуске (jessie) эти проблемы были исправлены в
версии 1.0.1t-1+deb8u4.
В нестабильном выпуске (sid) эти проблемы будут исправлены позже.
Рекомендуется обновить пакеты openssl.
Как исправить
Проблема может быть решена обновлением операционной системыдо следующих версий пакетов в зависимости от архитектуры:
Debian GNU/Linux 8:
noarch:
libssl-dev - 1.0.1t-1+deb8u5
libssl-doc - 1.0.1t-1+deb8u5
libssl1.0.0 - 1.0.1t-1+deb8u5
libssl1.0.0-dbg - 1.0.1t-1+deb8u5
openssl - 1.0.1t-1+deb8u5
openssl-dbgsym - 1.0.1t-1+deb8u5
Ссылки
http://www.debian.org/security/dsa-3673/

Источник: CVE
Наименование: CVE-2016-2178
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-2178

Источник: CVE
Наименование: CVE-2016-2179
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-2179

Источник: CVE
Наименование: CVE-2016-2182
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-2182

Источник: CVE
Наименование: CVE-2016-6303
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-6303

Источник: CVE
Наименование: CVE-2016-6302
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-6302

Источник: CVE
Наименование: CVE-2016-2181
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-2181

Источник: CVE
Наименование: CVE-2016-6306
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-6306

Источник: CVE
Наименование: CVE-2016-2183
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-2183

Источник: CVE
Наименование: CVE-2016-6304
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-6304

Источник: CVE
Наименование: CVE-2016-2177
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-2177

Источник: CVE
Наименование: CVE-2016-2180
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-2180