1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
|
#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov"
<define-tag description>обновление безопасности LTS</define-tag>
<define-tag moreinfo>
<p>В OpenSSL, наборе инструментов Secure Sockets Layer, были обнаружены
многочисленные уязвимости.</p>
<ul>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-8176">CVE-2014-8176</a>
<p>Правеен Кариянахалли, Айван Фратрик и Феликс Грёберт обнаружили,
что может происходить некорректное освобождение памяти при буферизации
данных DTLS. Это может позволить удалённым злоумышленникам вызвать отказ в обслуживании
(аварийная остановка) или потенциально выполнить произвольный код. Эта проблема касается
только предыдущего стабильного выпуска (wheezy).</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-1789">CVE-2015-1789</a>
<p>Роберт Свики и Ханно Бёк обнаружил, что функция X509_cmp_time может считывать
несколько байт за границами выделенного буфера памяти. Это может позволить удалённым
злоумышленникам вызвать отказ в обслуживании (аварийная остановка) с помощью специально
сформированных сертификатов и CRL.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-1790">CVE-2015-1790</a>
<p>Михал Залевски обнаружил, что код для выполнения грамматического разбора PKCS#7
неправильно обрабатывает отсутствующее содержимое, что приводит к разыменованию
NULL-указателя. Это может позволить удалённым злоумышленникам вызвать отказ в
обслуживании (аварийная остановка) при помощи специально сформированных закодированных с помощью ASN.1 двоичных данных PKCS#7.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-1791">CVE-2015-1791</a>
<p>Эмилия Кэспер обнаружила, что из-за некорректной обработки NewSessionTicket в многопоточном
клиенте может возникать состояние гонки, которое
приводит к двойному освобождению памяти. Это может позволить удалённым злоумышленникам вызвать
отказ в обслуживании (аварийная остановка).</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-1792">CVE-2015-1792</a>
<p>Йоханнес Бауер обнаружил, что код CMS может войти в бесконечный
цикл при проверке сообщения signedData в том случае, если ему попадается
неизвестный OID хеш-функции. Это может позволить удалённым злоумышленникам вызвать
отказ в обслуживании.</p></li>
</ul>
<p>Кроме того, OpenSSL теперь отклоняет рукопожатия, использующие параметры DH
короче 768 бит, что является контрмерой атаке Logjam
(<a href="https://security-tracker.debian.org/tracker/CVE-2015-4000">CVE-2015-4000</a>).</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2015/dla-247.data"
# $Id$
|
