Рекомендация Debian по безопасности

DSA-4963-1 openssl -- обновление безопасности

Дата сообщения:
24.08.2021
Затронутые пакеты:
openssl
Уязвим:
Да
Ссылки на базы данных по безопасности:
В каталоге Mitre CVE: CVE-2021-3711, CVE-2021-3712.
Более подробная информация:

В OpenSSL, наборе инструментов протокола защиты информации, были обнаружены многочисленные уязвимости.

  • CVE-2021-3711

    Джон Оуян сообщил о переполнении буфера в расшифровке SM2. Злоумышленник, способный представить SM2-содержимое для расшифровки приложению, может использовать эту уязвимость для изменения поведения приложения или вызова его аварийной остановки (отказ в обслуживании).

  • CVE-2021-3712

    Инго Шварце сообщил о переполнении буфера при обработке строк ASN.1 в функции X509_aux_print(), которое может приводить к отказу в обслуживании.

Дополнительные подробности можно найти в рекомендации основной ветки разработки: https://www.openssl.org/news/secadv/20210824.txt

В предыдущем стабильном выпуске (buster) эти проблемы были исправлены в версии 1.1.1d-0+deb10u7.

В стабильном выпуске (bullseye) эти проблемы были исправлены в версии 1.1.1k-1+deb11u1.

Рекомендуется обновить пакеты openssl.

С подробным статусом поддержки безопасности openssl можно ознакомиться на соответствующей странице отслеживания безопасности по адресу https://security-tracker.debian.org/tracker/openssl