1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
|
#use wml::debian::translation-check translation="793ef2aaf7ac1e7953d45aed262afca75ae7986e"
<define-tag description>различные уязвимости</define-tag>
<define-tag moreinfo>
<p>Исследователи обнаружили два изъяна в OpenSSL, библиотеке протокола
Secure Socket Layer (SSL) и связанных криптографических инструментах.
Приложения, собранные с использованием этой библиотеки, в основном,
уязвимы к атакам, которые могут привести к утечке частного ключа
сервера или сделать сеанс шифрования уязвимым к расшифровке.
Проект Common Vulnerabilities and Exposures (CVE) идентифицировал
следующие уязвимости:</p>
<dl>
<dt><a href="https://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2003-0147">CAN-2003-0147</a></dt>
<dd>
OpenSSL по умолчанию не использует "ослепление" RSA, что позволяет
локальным и удалённым нападающим получить частный ключ сервера.</dd>
<dt><a href="https://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2003-0131">CAN-2003-0131</a></dt>
<dd>
SSL позволяет удалённым нападающим производить действия с
неавторизованным частным ключом RSA, что приведет к утечке из OpenSSL
информации, касающейся связи и соотношения между шифротекстом и
открытым текстом.</dd>
</dl>
<p>В стабильном дистрибутиве (woody) эти проблемы исправлены
в версии 0.9.6c-2.woody.3.</p>
<p>В старом стабильном дистрибутиве (potato) эти проблемы исправлены
в версии 0.9.6c-0.potato.6.</p>
<p>В нестабильном дистрибутиве (sid) эти проблемы исправлены
в версии 0.9.7b-1 пакета openssl и версии 0.9.6j-1 пакета openssl096.</p>
<p>Мы рекомендуем вам немедленно обновить пакеты openssl и перезапустить
приложения, использующие OpenSSL.</p>
<p>К сожалению, "ослепление" RSA недостаточно надёжно работает с потоками,
и может вызвать ошибки в программах, использующих и потоки, и OpenSSL,
таких как stunnel. Тем не менее, поскольку предлагаемое исправление
меняет двоичный интерфейс (ABI), программы, связанные с OpenSSL
динамически, больше не будут работать. Это дилемма, которую мы не в
состоянии решить.</p>
<p>Вам придётся решить, хотите ли вы получить обновление, связанное
с безопасностью, ненадёжно работающее с потоками, и перекомпилировать
все приложения, которые не смогут работать после обновления, или же
загрузить дополнительные пакеты с исходным кодом в конце данного
предложения, перекомпилировать их и использовать библиотеку OpenSSL,
безопасно работающую с потоками, но также перекомпилировать все
приложения, использующие её (такие как apache-ssl, mod_ssl, ssh и т.д.).</p>
<p>Тем не менее, поскольку лишь очень немногие пакеты используют
потоки и связаны с OpenSSL, большинство пользователей смогут использовать
пакеты из этого обновления без каких-либо проблем.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2003/dsa-288.data"
|
