1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
|
#use wml::debian::translation-check translation="f64baf49f0e431d9ebba52c84ae30ded463e45e9" maintainer="Lev Lamberov"
<define-tag description>обновление безопасности</define-tag>
<define-tag moreinfo>
<p>В OpenSSL, наборе инструментов Secure Sockets Layer, были обнаружены
многочисленные проблемы безопасности. Проект Common Vulnerabilities and Exposures
определяет следующие проблемы:</p>
<ul>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-3569">CVE-2014-3569</a>
<p>Фрэнк Шмирлер сообщил, что функция ssl23_get_client_hello в
OpenSSL неправильно обрабатывает попытки использовать неподдерживаемые
протоколы. Если OpenSSL собран с опцией no-ssl3, и он получает сообщение SSL
v3 ClientHello, то метод ssl может принять значение NULL,
которое может приводить к разыменованию NULL-указателя и аварийной остановке работы службы.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-3570">CVE-2014-3570</a>
<p>Питер Вуилле из Blockstream сообщил, что возведение в квадрат больших
чисел (BN_sqr) на некоторых платформах может выдавать неправильные результаты, что
облегчает удалённым злоумышленникам взлом механизмов криптографической
защиты.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-3571">CVE-2014-3571</a>
<p>Маркус Штенберг из Cisco Systems, Inc. сообщил, что специально сформированное
сообщение DTLS может приводить к ошибке сегментации в OpenSSL из-за
разыменования NULL-указателя. Удалённый злоумышленник может использовать эту уязвимость
для вызова отказа в обслуживании.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-3572">CVE-2014-3572</a>
<p>Картикейян Бхаргаван из команды PROSECCO в INRIA сообщил, что
клиент OpenSSL может принять сообщение-рукопожатие, использующее эфемерный набор шифров ECDH
в случае, если отсутствует сообщение об обмене серверным ключём. Это
позволяет удалённым серверам SSL выполнять атаки на понижение ECDHE-to-ECDH
и приводит к потере секретности.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-8275">CVE-2014-8275</a>
<p>Антти Карялайнен и Туомо Унтинен из проекта Codenomicon CROSS,
а также Конрад Крашевски из Google сообщили о различных проблемах
с отпечатками сертификатов, которые позволяют удалённым злоумышленникам обходить
механизмы защиты в виде чёрных списков сертификатов на основе их отпечатков.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-0204">CVE-2015-0204</a>
<p>Картикейян Бхаргаван из команды PROSECCO в INRIA сообщил, что
клиент OpenSSL принимает эфемерный ключ RSA в
ходе обмена неэкспортным ключём RSA, что нарушает стандарт
TLS. Это позволяет удалённым серверам SSL понижать уровень безопасности
сессии.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-0205">CVE-2015-0205</a>
<p>Картикеёян Бхаргаван из команды PROSECCO в INRIA сообщил, что
сервер OpenSSL принимает сертификат DH для аутентификации клиента
без сообщения для проверки сертификата. Данная уязвимость
позволяет клиентам аутентифицироваться без использования
закрытого ключа с помощью специально сформированного трафика по протоколу рукопожатия TLS, отправленного на
сервер, распознающий авторитетные источники сертифицирования с поддержкой DH.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-0206">CVE-2015-0206</a>
<p>Крис Мюллер обнаружил утечку памяти в функции
dtls1_buffer_record. Удалённый злоумышленник может использовать данную уязвимость для
вызова отказа в обслуживании через чрезмерное потребление памяти путём повторяющейся отправки
специально сформированных записей DTLS.</p></li>
</ul>
<p>В стабильном выпуске (wheezy) эти проблемы были исправлены в
версии 1.0.1e-2+deb7u14.</p>
<p>В готовящемся стабильном выпуске (jessie) эти проблемы будут
исправлены позже.</p>
<p>В нестабильном выпуске (sid) эти проблемы были исправлены в
версии 1.0.1k-1.</p>
<p>Рекомендуется обновить пакеты openssl.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2015/dsa-3125.data"
# $Id$
|