Информация по безопасности / 2012 / Информация о безопасности -- DSA-2454-2 openssl

Рекомендация Debian по безопасности

DSA-2454-2 openssl -- многочисленные уязвимости

Дата сообщения:

24.04.2012

Затронутые пакеты:

openssl

Уязвим:

Да

Ссылки на базы данных по безопасности:

В каталоге Mitre CVE: CVE-2012-0884, CVE-2012-1165, CVE-2012-2110, CVE-2012-2131.

Более подробная информация:

В OpenSSL были обнаружены многочисленные уязвимости. Проект Common Vulnerabilities and Exposures определяет следующие проблемы:

• CVE-2012-0884

  Айван Нестлероуд обнаружил уязвимость в реализациях CMS и PKCS #7, которая может позволить злоумышленнику расшифровать данные с помощью MMA (Million Message Attack).

• CVE-2012-1165

  Было обнаружено, что можно вызвать разыменование NULL-указателя при выполнении грамматического разбора определённых сообщений S/MIME, что приводит к отказу в обслуживании.

• CVE-2012-2110

  Тэвис Орманди из команды безопасности Google обнаружил уязвимость в способе выполнения грамматического разбора закодированных с помощью DER данных ASN.1, что может приводить к переполнению динамической памяти.

Кроме того, исправление для CVE-2011-4619 было обновлено с целью исправления проблемы с рукопожатиями SGC.

Томас Ходжер из Red Hat обнаружил, что исправление для CVE-2012-2110 для серии выпусков 0.9.8 OpenSSL оказалось неполным. Эта проблема получила идентификатор CVE-2012-2131.

В стабильном выпуске (squeeze) эти проблемы были исправлены в версии 0.9.8o-4squeeze12.

В тестируемом выпуске (wheezy) эти проблемы будут исправлены позже.

В нестабильном выпуске (sid) эти проблемы были исправлены в версии 1.0.1a-1.

Рекомендуется обновить пакеты openssl.