• Все разделы
  • Статьи
  • Медиа
  • Новости
  • Нормативные материалы
  • Конференции
  • Глоссарий

DSA-3967-1 mbedtls -- обновление безопасности

Главная Специалистам База уязвимостей DSA-3967-1 mbedtls -- обновление безопасности

Карточка уязвимости

Характеристики уязвимости

Уровень опасности
Оценка CVSS
Производитель ПО
Наименование ПО
Описание
В mbed TLS, лёгковесной библиотеке поддержки криптографии и SSL/TLS, была
обнаружена уязвимость, позволяющая обходить аутентификацию в случае, если режим
аутентификации установлен в значение optional. Удалённый злоумышленник может
использовать эту уязвимость для выполнения атак по принципу человек-в-середине и
для того, чтобы выдавать себя за определённый одноранговый узел сети, используя
цепочку сертификатов X.509 с большим числом промежуточных звеньев.
В стабильном выпуске (stretch) эта проблема была исправлена в
версии 2.4.2-1+deb9u1.
В тестируемом выпуске (buster) эта проблема была исправлена
в версии 2.6.0-1.
В нестабильном выпуске (sid) эта проблема была исправлена в
версии 2.6.0-1.
Рекомендуется обновить пакеты mbedtls.
Как исправить
Проблема может быть решена обновлением операционной системыдо следующих версий пакетов в зависимости от архитектуры:
Debian GNU/Linux 9:
noarch:
libmbedcrypto0 - 2.4.2-1+deb9u1
libmbedtls-dev - 2.4.2-1+deb9u1
libmbedtls-doc - 2.4.2-1+deb9u1
libmbedtls10 - 2.4.2-1+deb9u1
libmbedx509-0 - 2.4.2-1+deb9u1
Ссылки
http://www.debian.org/security/dsa-3967/

Источник: CVE
Наименование: CVE-2017-14032
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-14032