Рекомендация Debian по безопасности
DSA-2454-2 openssl -- многочисленные уязвимости
- Дата сообщения:
- 24.04.2012
- Затронутые пакеты:
- openssl
- Уязвим:
- Да
- Ссылки на базы данных по безопасности:
- В каталоге Mitre CVE: CVE-2012-0884, CVE-2012-1165, CVE-2012-2110, CVE-2012-2131.
- Более подробная информация:
-
В OpenSSL были обнаружены многочисленные уязвимости. Проект Common Vulnerabilities and Exposures определяет следующие проблемы:
- CVE-2012-0884
Айван Нестлероуд обнаружил уязвимость в реализациях CMS и PKCS #7, которая может позволить злоумышленнику расшифровать данные с помощью MMA (Million Message Attack).
- CVE-2012-1165
Было обнаружено, что можно вызвать разыменование NULL-указателя при выполнении грамматического разбора определённых сообщений S/MIME, что приводит к отказу в обслуживании.
- CVE-2012-2110
Тэвис Орманди из команды безопасности Google обнаружил уязвимость в способе выполнения грамматического разбора закодированных с помощью DER данных ASN.1, что может приводить к переполнению динамической памяти.
Кроме того, исправление для CVE-2011-4619 было обновлено с целью исправления проблемы с рукопожатиями SGC.
Томас Ходжер из Red Hat обнаружил, что исправление для CVE-2012-2110 для серии выпусков 0.9.8 OpenSSL оказалось неполным. Эта проблема получила идентификатор CVE-2012-2131.
В стабильном выпуске (squeeze) эти проблемы были исправлены в версии 0.9.8o-4squeeze12.
В тестируемом выпуске (wheezy) эти проблемы будут исправлены позже.
В нестабильном выпуске (sid) эти проблемы были исправлены в версии 1.0.1a-1.
Рекомендуется обновить пакеты openssl.
- CVE-2012-0884