Информация по безопасности / 2014 / Информация о безопасности -- DSA-2998-1 openssl

Рекомендация Debian по безопасности

DSA-2998-1 openssl -- обновление безопасности

Дата сообщения:

07.08.2014

Затронутые пакеты:

openssl

Уязвим:

Да

Ссылки на базы данных по безопасности:

В каталоге Mitre CVE: CVE-2014-3505, CVE-2014-3506, CVE-2014-3507, CVE-2014-3508, CVE-2014-3509, CVE-2014-3510, CVE-2014-3511, CVE-2014-3512, CVE-2014-5139.

Более подробная информация:

В OpenSSL, инструментарии Secure Sockets Layer, были обнаружены многочисленные уязвимости, которые могут приводить к отказу в обслуживании (аварийное завершение работы приложения, чрезмерное потребление памяти), утечкам информации, использованию более старой версии протокола. Кроме того, была исправлена ошибка, приводящая к переполнению буфера в приложениях, которые были явным образом настроены для SRP (CVE-2014-3512).

Подробное описание уязвимостей может быть получено по следующему адресу: www.openssl.org/news/secadv_20140806.txt

Важно обновить и пакет libssl1.0.0, а не только пакет openssl.

Все приложения, связанные с openssl должны быть перезапущены. Вы можете использовать инструмент checkrestart из пакета debian-goodies для того, чтобы обнаружить соответствующие программы. Также вы можете просто перезапустить вашу систему.

В стабильном выпуске (wheezy) эти проблемы были исправлены в версии 1.0.1e-2+deb7u12.

В тестируемом выпуске (jessie) эти проблемы будут исправлены позже.

В нестабильном выпуске (sid) эти проблемы были исправлены в версии 1.0.1i-1.

Рекомендуется обновить пакеты openssl.