1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
|
#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov"
<define-tag description>обновление безопасности LTS</define-tag>
<define-tag moreinfo>
<p>Данное обновление исправляет некоторые известные уязвимости в pound в выпуске squeeze-lts
путём обратного переноса версии из выпуска wheezy.</p>
<ul>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2009-3555">CVE-2009-3555</a>
<p>Протокол TLS, протокол SSL 3.0 и возможно более ранних версий, используемые
в Microsoft Internet Information Services (IIS) 7.0, mod_ssl
в HTTP-сервере Apache 2.2.14 и более ранних версиях, OpenSSL до версии 0.9.8l,
GnuTLS 2.8.5 и более ранних версиях, Mozilla Network Security Services (NSS)
3.12.4 и более ранних версиях, многочисленных продуктах Cisco, а также других продуктах,
неправильно ассоциируют рукопожатия повторных согласований для
существующих соединений, что позволяет злоумышленникам, выполняющим атаки по принципу
человек-в-середине, вставлять данные в сессии HTTPS, а, вероятно, и в другие
виды сессий, защищённых с помощью TLS или SSL, путём отправки неаутентифицированного
запроса, который обрабатывается сервером задним числом в
контексте, созданном после повторного согласования, что связано с атакой <q>инъекция
открытого текста</q>, известной также как проблема <q>Project Mogul</q>.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2011-3389">CVE-2011-3389</a>
<p>Протокол SSL, используемый при некоторых настройках в Microsoft
Windows и Microsoft Internet Explorer, Mozilla Firefox, Google
Chrome, Opera и других продуктах, шифрует данные, используя режим CBC
с сцепленными векторами инициализации, что позволяет злоумышленникам, выполняющим атаки
по принципу человек-в-середине, получать заголовки HTTP в виде открытого текста с помощью атаки
по блокам (BCBA) на сессию HTTPS вместе с
кодом на JavaScript, использующим (1) HTML5 WebSocket API, (2) Java
URLConnection API или (3) Silverlight WebClient API, что известно как
атака <q>BEAST</q>.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2012-4929">CVE-2012-4929</a>
<p>Протокол TLS 1.2 или более ранних версий, используемый в Mozilla Firefox, Google
Chrome, Qt и других продуктах, может зашифровывать сжатые данные без
предварительного изменения длины незашифрованных данных, что позволяет злоумышленникам,
выполняющим атаки по принципу человек-в-середине, получать заголовки HTTP в виде открытого
текста путём сравнения длин данных в ходе проверки серии предположений, в которых
строка в запросе HTTP потенциально совпадает с неизвестной строкой в
заголовке HTTP, что также известно как атака <q>CRIME</q>.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-3566">CVE-2014-3566</a>
<p>Протокол SSL 3.0, используемый в OpenSSL в 1.0.1i и других
продуктах, использует недетерминированное добавление битов заполнителя, что упрощает
злоумышленникам, выполняющим атаки по принципу человек-в-середине, получать данные в виде открытого
текста с помощью атаки по предсказанию заполнения, что также известно как проблема <q>POODLE</q>.</p></li>
</ul>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2016/dla-400.data"
# $Id$
|