blob: c9182440fb025e10d004804d3b9f26857c067683 (
plain) (
blame)
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
|
#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov"
<define-tag description>обновление безопасности LTS</define-tag>
<define-tag moreinfo>
<p>В OpenSSL, наборе инструментов Secure Sockets Layer, были обнаружены
многочисленные уязвимости. Проект Common Vulnerabilities and Exposures
определяет следующие проблемы:</p>
<ul>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-3570">CVE-2014-3570</a>
<p>Питер Вуилль из Blockstream сообщил, что возведение в квадрат сверхбольших
чисел (BN_sqr) может на некоторых платформах выдавать неправильные результаты, что
облегчает удалённым пользователям обход механизма криптографической
защиты.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-3571">CVE-2014-3571</a>
<p>Маркус Штенберг из Cisco Systems, Inc. сообщил, что специально
сформированное сообщение DTLS может вызывать ошибку сегментирования в OpenSSL из-за
разыменования NULL-указателя. Удалённый злоумышленник может использовать данную уязвимость
для вызова отказа в обслуживании.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-3572">CVE-2014-3572</a>
<p>Картикеян Бхаргаван из команды PROSECCO из INRIA сообщил, что
клиент OpenSSL принимает рукопожатие, используя недолговечный набор шифров
ECDH в случае, если пропущено сообщение сервера по обмену ключей. Это
позволяет удалённым SSL-серверам выполнять атаки по снижению уровня защиты ECDHE до ECDH
и вызывать потерю защищённости.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-8275">CVE-2014-8275</a>
<p>Антти Карялаинен и Туомо Унтинен из проекта Codenomicon CROSS
и Конрад Крашевски из Google сообщили о различных проблемах с отпечатками
сертификата, которые могут позволить удалённым злоумышленникам обойти
механизмы защиты на основе чёрного списка сертификатов, содержащего отпечатки.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-0204">CVE-2015-0204</a>
<p>Картикеян Бхаргаван из команды PROSECCO из INRIA сообщил, что
клиент OpenSSL принимает использование недолговечного ключа RSA в
неэкспортном наборе шифров для обмена ключами RSA, нарушая стандарт
TLS. Это позволяет удалённым SSL-серверам снижать уровень совершенной прямой
секретности сессии.</p></li>
</ul>
<p>В Debian 6 <q>Squeeze</q> эти проблемы были исправлены в openssl версии 0.9.8o-4squeeze19</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2015/dla-132.data"
# $Id$
|
