1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
|
#use wml::debian::translation-check translation="7f90a65e206221fc861cb1d91ede6ff87ee2ce2c" maintainer="Lev Lamberov"
<define-tag description>обновление безопасности</define-tag>
<define-tag moreinfo>
<p>В OpenSSL, наборе инструментов Secure Sockets Layer, были обнаружены
многочисленные уязвимости.</p>
<ul>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-8176">CVE-2014-8176</a>
<p>Правин Кариянахалли, Айвэн Фратрик и Феликс Грёберт обнаружили,
что может происходить некорректное освобождение памяти при буферизации данных
DTLS. Это может позволить удалённым злоумышленникам вызвать отказ в обслуживании
(аварийная остановка), либо потенциальное выполнение произвольного кода. Эта проблема
касается только предыдущего стабильного выпуска (wheezy).</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-1788">CVE-2015-1788</a>
<p>Джозеф Бар-Пикстон обнаружил, что из-за некорректной обработки некорректных структур
ECParameters может возникнуть бесконечный цикл. Это может
позволить удалённым злоумышленникам вызвать отказ в обслуживании.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-1789">CVE-2015-1789</a>
<p>Роберт Суики и Хано Бёк обнаружили, что функция X509_cmp_time
может прочитывать несколько байт за пределами выделенной памяти. Это может позволить удалённым
злоумышленникам вызвать отказ в обслуживании (аварийная остановка) с помощью специально
сформированных сертификатов и CRL.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-1790">CVE-2015-1790</a>
<p>Михал Залевски обнаружил, что код для грамматического разбора PKCS#7 неправильно
обрабатывает отсутствующее содержимое, что может приводить к разыменованию
NULL-указателя. Это может позволить удалённым злоумышленникам вызвать отказ в
обслуживании (аварийная остановка) с помощью специально сформированных блобов PKCS#7 закодированных с помощью ASN.1.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-1791">CVE-2015-1791</a>
<p>Эмилия Кэспер обнаружила, что из-за некорректной обработки NewSessionTicket в многопоточных
клиентах может возникнуть состояние гонки,
приводящее к двойному освобождению памяти. Это может позволить удалённым злоумышленникам вызвать
отказ в обслуживании (аварийная остановка).</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-1792">CVE-2015-1792</a>
<p>Йоханнес Баер обнаружил, что код CMS может входить к бесконечный
цикл при проверке сообщения signedData в том случае, если ему встречается
неизвестная хэш-функция OID. Это может позволить удалённым злоумышленникам вызвать
отказ в обслуживании.</p></li>
</ul>
<p>Кроме того, OpenSSL отвергает рукопожатия, использующие параметры DH короче
768 бит, с целью противодействия атаке Logjam
(<a href="https://security-tracker.debian.org/tracker/CVE-2015-4000">CVE-2015-4000</a>).</p>
<p>В предыдущем стабильном выпуске (wheezy) эти проблемы были исправлены
в версии 1.0.1e-2+deb7u17.</p>
<p>В стабильном выпуске (jessie) эти проблемы были исправлены в
версии 1.0.1k-3+deb8u1.</p>
<p>В тестируемом выпуске (stretch) эти проблемы были исправлены
в версии 1.0.2b-1.</p>
<p>В нестабильном выпуске (sid) эти проблемы были исправлены в
версии 1.0.2b-1.</p>
<p>Рекомендуется обновить пакеты openssl.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2015/dsa-3287.data"
# $Id$
|
