Рекомендация Debian по безопасности

DSA-2454-2 openssl -- многочисленные уязвимости

Дата сообщения:
24.04.2012
Затронутые пакеты:
openssl
Уязвим:
Да
Ссылки на базы данных по безопасности:
В каталоге Mitre CVE: CVE-2012-0884, CVE-2012-1165, CVE-2012-2110, CVE-2012-2131.
Более подробная информация:

В OpenSSL были обнаружены многочисленные уязвимости. Проект Common Vulnerabilities and Exposures определяет следующие проблемы:

  • CVE-2012-0884

    Айван Нестлероуд обнаружил уязвимость в реализациях CMS и PKCS #7, которая может позволить злоумышленнику расшифровать данные с помощью MMA (Million Message Attack).

  • CVE-2012-1165

    Было обнаружено, что можно вызвать разыменование NULL-указателя при выполнении грамматического разбора определённых сообщений S/MIME, что приводит к отказу в обслуживании.

  • CVE-2012-2110

    Тэвис Орманди из команды безопасности Google обнаружил уязвимость в способе выполнения грамматического разбора закодированных с помощью DER данных ASN.1, что может приводить к переполнению динамической памяти.

Кроме того, исправление для CVE-2011-4619 было обновлено с целью исправления проблемы с рукопожатиями SGC.

Томас Ходжер из Red Hat обнаружил, что исправление для CVE-2012-2110 для серии выпусков 0.9.8 OpenSSL оказалось неполным. Эта проблема получила идентификатор CVE-2012-2131.

В стабильном выпуске (squeeze) эти проблемы были исправлены в версии 0.9.8o-4squeeze12.

В тестируемом выпуске (wheezy) эти проблемы будут исправлены позже.

В нестабильном выпуске (sid) эти проблемы были исправлены в версии 1.0.1a-1.

Рекомендуется обновить пакеты openssl.