path: root/russian/security/2002/dsa-136.wml

#use wml::debian::translation-check translation="55a70d0c0f3df8d4df237334ac6de72daaa99f73" maintainer="Lev Lamberov"
<define-tag description>многочисленные удалённые уязвимости</define-tag>
<define-tag moreinfo>
<p>Команда разработки OpenSSL сообщила, что аудит безопасности, проводимый сотрудниками A.L.
Digital Ltd и The Bunker, по программе DARPA CHATS, позволил обнаружить
переполнения буфера в коде OpenSSL, которые могут использоваться удалённо.
Кроме того, код для грамматического разбора ASN1 в OpenSSL потенциально уязвим к отказу в
обслуживании, что независимо было обнаружено Эди Ставом и Джеймсом Йонаном.</p>

<p>В CAN-2002-0655 указаны переполнения в буферах, используемых для хранения
ASCII-представлений целых чисел на 64-битных платформах. В CAN-2002-0656
указаны переполнения буфера в реализации сервер SSL2 (из-за отправки
серверу некорректного ключа) и реализации клиента SSL3
(из-за отправки клиенту большого идентификатора сессии). Проблема с SSL2 была так же
обнаружена Neohapsis, который в частном порядке продемонстрировал код для
использования этой проблемы. В CAN-2002-0659 указана проблема с кодом для грамматического разбора ASN1.</p>

<p>Эти уязвимости были исправлены в Debian 3.0 (woody) в
openssl094_0.9.4-6.woody.2, openssl095_0.9.5a-6.woody.1 и
openssl_0.9.6c-2.woody.1.</p>

<p>Кроме того, эти уязвимости присутствуют в Debian 2.2 (potato). Доступны
исправленные пакеты openssl094_0.9.4-6.potato.2 и
openssl_0.9.6c-0.potato.4.</p>

<p>Червь активно использует эту проблему на подключённых к сети Интернет узлах;
рекомендуется как можно скорее обновить OpenSSL. Заметьте, что вам
следует перезапустить все службы, использующие SSL. (Например, ssh или apache с поддержкой ssl.)
Если вы не уверены в том, какие программы используют SSL, вы можете
перезагрузить систему, в этом случае все запущенные службы будут использовать новые библиотеки.</p>

</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2002/dsa-136.data"